Foi identificado um problema de segurança (CVE-2021-41077) no serviço de integração contínua Travis CI, projetado para testar e construir projetos desenvolvidos no GitHub e Bitbucket, que permite revelar o conteúdo de variáveis de ambiente sensíveis de repositórios públicos usando Travis CI . Entre outras coisas, a vulnerabilidade permite descobrir as chaves utilizadas no Travis CI para geração de assinaturas digitais, chaves de acesso e tokens para acesso à API.
O problema esteve presente no Travis CI de 3 a 10 de setembro. Vale ressaltar que as informações sobre a vulnerabilidade foram transmitidas aos desenvolvedores no dia 7 de setembro, mas em resposta eles receberam apenas uma resposta com recomendação de uso de rotação de chaves. Não tendo recebido feedback adequado, os pesquisadores contataram o GitHub e propuseram colocar Travis na lista negra. O problema foi resolvido apenas no dia 10 de setembro, após um grande número de reclamações recebidas de diversos projetos. Após o incidente, um relatório mais que estranho sobre o problema foi publicado no site do Travis CI, que, em vez de informar sobre uma correção para a vulnerabilidade, continha apenas uma recomendação fora de contexto para alterar ciclicamente as chaves de acesso.
Após protestos sobre o encobrimento de vários grandes projetos, um relatório mais detalhado foi publicado no fórum de suporte do Travis CI, alertando que o proprietário de um fork de qualquer repositório público poderia, ao enviar uma solicitação pull, acionar o processo de construção e obter acesso não autorizado a variáveis de ambiente sensíveis do repositório original., definidas durante a montagem com base em campos do arquivo “.travis.yml” ou definidas através da interface web do Travis CI. Essas variáveis são armazenadas de forma criptografada e descriptografadas somente durante a montagem. O problema afetou apenas repositórios acessíveis ao público que possuem forks (repositórios privados não são suscetíveis a ataques).
Fonte: opennet.ru