Nkhani yachitetezo (CVE-2021-41077) yadziwika mu ntchito yophatikizira yopitilira Travis CI, yopangidwira kuyesa ndi zomangamanga zomwe zimapangidwa pa GitHub ndi Bitbucket, zomwe zimalola kuti zomwe zili m'malo osungiramo anthu omwe amagwiritsa ntchito Travis CI ziwululidwe. . Mwa zina, kusatetezeka kumakupatsani mwayi wopeza makiyi omwe amagwiritsidwa ntchito ku Travis CI popanga siginecha ya digito, makiyi olowera ndi ma tokeni kuti mupeze API.
Vutoli linalipo ku Travis CI kuyambira Seputembara 3 mpaka Seputembara 10. Ndizofunikira kudziwa kuti zambiri zokhudzana ndi chiwopsezo zidaperekedwa kwa opanga pa Seputembala 7, koma poyankha adangolandira yankho ndi malingaliro oti agwiritse ntchito kasinthasintha kofunikira. Popeza sanalandire mayankho okwanira, ofufuzawo adalumikizana ndi GitHub ndikufunsa kuti Travis alembetse. Vutoli lidakhazikitsidwa pa Seputembara 10 pambuyo pa madandaulo ambiri omwe adalandira kuchokera kuzinthu zosiyanasiyana. Pambuyo pazochitikazo, lipoti loposa lachilendo la vutoli linasindikizidwa pa webusaiti ya Travis CI, yomwe, m'malo modziwitsa za kukonza kwachiwopsezo, inangokhala ndi malingaliro akunja oti asinthe makiyi olowera mozungulira.
Kutsatira kudandaula pakubisala kwa mapulojekiti angapo akuluakulu, lipoti latsatanetsatane lidasindikizidwa pabwalo lothandizira la Travis CI, kuchenjeza kuti mwiniwake wa foloko ya malo aliwonse a anthu akhoza, popereka pempho kukoka, kuyambitsa ntchito yomanga ndikupeza phindu. mwayi wosaloleka ku zosintha zodziwika bwino za malo oyamba. , zokhazikitsidwa pamisonkhano potengera magawo ochokera ku fayilo ya ".travis.yml" kapena kufotokozedwa kudzera pa intaneti ya Travis CI. Zosintha zotere zimasungidwa m'mawonekedwe obisika ndipo zimasinthidwa pokhapokha posonkhana. Vutoli lidangokhudza nkhokwe zopezeka pagulu zomwe zili ndi mafoloko (zosungirako zachinsinsi sizingavutike).
Source: opennet.ru