د امنیت مسله (CVE-2021-41077) د Travis CI دوامداره ادغام خدمت کې پیژندل شوې ، چې په GitHub او Bitbucket کې رامینځته شوي پروژې ازموینې او جوړولو لپاره ډیزاین شوي ، کوم چې د Travis CI په کارولو سره د عامه ذخیره کولو حساس چاپیریال متغیرونو مینځپانګې څرګندولو ته اجازه ورکوي. . د نورو شیانو په مینځ کې، زیانمنتیا تاسو ته اجازه درکوي چې په Travis CI کې د ډیجیټل لاسلیکونو، لاسرسي کیلي او API ته د لاسرسي لپاره ټوکنونو رامینځته کولو لپاره کارول شوي کلیدونه ومومئ.
ستونزه د سپتمبر له 3 څخه تر سپتمبر 10 پورې په Travis CI کې موجوده وه. د یادونې وړ ده چې د زیانمننې په اړه معلومات د سپتمبر په 7 پراختیا کونکو ته لیږدول شوي، مګر په ځواب کې دوی یوازې د کلیدي گردش کارولو وړاندیز سره ځواب ترلاسه کړ. د مناسب فیډبیک نه ترلاسه کولو سره، څیړونکو د GitHub سره اړیکه ونیوله او د تور لیست کولو وړاندیز یې وکړ. ستونزه یوازې د سپتمبر په 10 د مختلفو پروژو څخه د ډیرو شکایتونو ترلاسه کولو وروسته حل شوه. د پیښې وروسته، د ستونزې په اړه یو ډیر عجیب راپور د Travis CI ویب پاڼه کې خپور شو، کوم چې د زیانمننې لپاره د حل په اړه د معلوماتو ورکولو پر ځای، یوازې د شرایطو څخه بهر وړاندیز درلود چې په سایکل ډول د لاسرسي کیلي بدل کړي.
د ډیری لویو پروژو لخوا د پوښښ په اړه د چیغې په تعقیب، د ټریوس CI ملاتړ فورم کې یو ډیر مفصل راپور خپور شو، چې خبرداری یې ورکړ چې د هر ډول عامه زیرمو د فورک مالک کولی شي، د پلټ غوښتنې په سپارلو سره، د جوړولو پروسه پیل کړي او ګټه ترلاسه کړي. د اصلي ذخیرې حساس چاپیریال متغیرونو ته غیر مجاز لاسرسی. د ".travis.yml" فایل څخه د ساحو پراساس یا د Travis CI ویب انٹرفیس له لارې تعریف شوي د غونډې پرمهال تنظیم شوي. دا ډول تغیرات په کوډ شوي شکل کې زیرمه شوي او یوازې د مجلس په جریان کې کوډ شوي. ستونزه یوازې په عامه توګه د لاسرسي وړ ذخیره اغیزه کوي چې فورک لري (شخصي ذخیره د برید لپاره حساس ندي).
سرچینه: opennet.ru