Et sikkerhetsproblem (CVE-2021-41077) er identifisert i Travis CIs kontinuerlige integrasjonstjeneste, designet for testing og byggeprosjekter utviklet på GitHub og Bitbucket, som gjør at innholdet i sensitive miljøvariabler i offentlige depoter som bruker Travis CI kan avsløres . Blant annet lar sårbarheten deg finne ut nøklene som brukes i Travis CI for å generere digitale signaturer, tilgangsnøkler og tokens for tilgang til API.
Problemet var tilstede i Travis CI fra 3. september til 10. september. Det er bemerkelsesverdig at informasjon om sårbarheten ble overført til utviklerne 7. september, men som svar fikk de kun et svar med en anbefaling om å bruke nøkkelrotasjon. Etter å ikke ha fått tilstrekkelig tilbakemelding, tok forskerne kontakt med GitHub og foreslo svartelisting av Travis. Problemet ble løst først 10. september etter et stort antall klager mottatt fra ulike prosjekter. Etter hendelsen ble det publisert en mer enn merkelig rapport om problemet på nettstedet til Travis CI, som, i stedet for å informere om en løsning på sårbarheten, kun inneholdt en anbefaling utenfor kontekst om å endre tilgangsnøkler syklisk.
Etter ramaskrik over dekningen av flere store prosjekter, ble det publisert en mer detaljert rapport på Travis CI-støtteforumet, som advarte om at eieren av en fork av ethvert offentlig depot kan, ved å sende inn en pull-forespørsel, utløse byggeprosessen og få uautorisert tilgang til sensitive miljøvariabler i det opprinnelige depotet. , satt under montering basert på felt fra ".travis.yml"-filen eller definert gjennom Travis CI-nettgrensesnittet. Slike variabler lagres i kryptert form og dekrypteres kun under montering. Problemet påvirket bare offentlig tilgjengelige depoter som har gafler (private depoter er ikke utsatt for angrep).
Kilde: opennet.ru