Ġiet identifikata kwistjoni ta' sigurtà (CVE-2021-41077) fis-servizz ta' integrazzjoni kontinwa Travis CI, iddisinjat għall-ittestjar u l-bini ta' proġetti żviluppati fuq GitHub u Bitbucket, li jippermetti li jiġi żvelat il-kontenut ta' varjabbli ambjentali sensittivi ta' repożitorji pubbliċi li jużaw Travis CI. . Fost affarijiet oħra, il-vulnerabbiltà tippermettilek issir taf iċ-ċwievet użati fi Travis CI għall-ġenerazzjoni ta 'firem diġitali, ċwievet ta' aċċess u tokens għall-aċċess għall-API.
Il-problema kienet preżenti fi Travis CI mit-3 ta’ Settembru sal-10 ta’ Settembru. Ta 'min jinnota li l-informazzjoni dwar il-vulnerabbiltà ġiet trażmessa lill-iżviluppaturi fis-7 ta' Settembru, iżda bi tweġiba huma rċevew biss tweġiba b'rakkomandazzjoni biex tintuża rotazzjoni taċ-ċavetta. Peress li ma rċevewx feedback adegwat, ir-riċerkaturi kkuntattjaw lil GitHub u pproponew lil Travis li jdaħħal lista sewda. Il-problema ġiet irranġata biss fl-10 ta’ Settembru wara numru kbir ta’ ilmenti li waslu minn diversi proġetti. Wara l-inċident, rapport aktar minn stramb dwar il-problema ġie ppubblikat fuq il-websajt Travis CI, li, minflok ma informa dwar soluzzjoni għall-vulnerabbiltà, kien fih biss rakkomandazzjoni barra mill-kuntest biex tbiddel iċ-ċwievet ta 'aċċess b'mod ċikliku.
Wara għajta dwar il-kisi minn bosta proġetti kbar, ġie ppubblikat rapport aktar dettaljat fuq il-forum ta’ appoġġ ta’ Travis CI, li wissa li s-sid ta’ furketta ta’ kwalunkwe repożitorju pubbliku jista’, billi jissottometti pull request, iqajjem il-proċess tal-bini u jikseb aċċess mhux awtorizzat għal varjabbli ambjentali sensittivi tar-repożitorju oriġinali. , issettjat waqt l-assemblaġġ ibbażat fuq oqsma mill-fajl “.travis.yml” jew definiti permezz tal-interface web Travis CI. Tali varjabbli huma maħżuna f'forma encrypted u huma decrypted biss waqt l-assemblaġġ. Il-problema affettwat biss repożitorji aċċessibbli pubblikament li għandhom frieket (repożitorji privati mhumiex suxxettibbli għal attakk).
Sors: opennet.ru