Er is een beveiligingsprobleem (CVE-2021-41077) geïdentificeerd in de Travis CI continue integratieservice, ontworpen om projecten te testen en te bouwen die zijn ontwikkeld op GitHub en Bitbucket, waarmee u de inhoud van vertrouwelijke omgevingsvariabelen van openbare repositories kunt achterhalen met behulp van Travis CI. Door de kwetsbaarheid kun je onder meer de sleutels achterhalen die in Travis CI worden gebruikt voor het genereren van digitale handtekeningen, toegangssleutels en tokens voor toegang tot de API.
De uitgave was aanwezig in Travis CI van 3 tot 10 september. Het is opmerkelijk dat op 7 september informatie over de kwetsbaarheid naar de ontwikkelaars is gestuurd, maar dat er alleen een reactie is ontvangen met een aanbeveling om sleutelrotatie te gebruiken. Omdat ze geen goede feedback kregen, namen de onderzoekers contact op met GitHub en boden aan om Travis op de zwarte lijst te zetten. Het probleem werd pas op 10 september verholpen na een groot aantal klachten van verschillende projecten. Na het incident werd een meer dan vreemd probleemrapport gepubliceerd op de Travis CI-website, dat, in plaats van te informeren over de oplossing van de kwetsbaarheid, alleen een out-of-context aanbeveling bevatte om toegangssleutels te gebruiken.
Na verontwaardiging over het achterhouden van informatie door verschillende grote projecten, werd een meer gedetailleerd rapport geplaatst op het Travis CI-ondersteuningsforum, waarin werd gewaarschuwd dat de eigenaar van een fork van een openbare repository, door een pull-verzoek in te dienen, het bouwproces zou kunnen starten en winst zou kunnen maken ongeoorloofde toegang tot vertrouwelijke omgevingsvariabelen van de oorspronkelijke repository, ingesteld tijdens het bouwen op basis van velden uit het ".travis.yml"-bestand of gedefinieerd via de Travis CI-webinterface. Dergelijke variabelen worden in gecodeerde vorm opgeslagen en worden pas tijdens het bouwen gedecodeerd. Het probleem trof alleen openbaar toegankelijke repositories met vorken (private repositories worden niet aangevallen).
Bron: opennet.ru