O problemă de securitate (CVE-2021-41077) a fost identificată în serviciul de integrare continuă Travis CI, conceput pentru testarea și construirea de proiecte dezvoltate pe GitHub și Bitbucket, care permite dezvăluirea conținutului variabilelor de mediu sensibile ale depozitelor publice care utilizează Travis CI. . Printre altele, vulnerabilitatea vă permite să aflați cheile folosite în Travis CI pentru generarea de semnături digitale, chei de acces și token-uri pentru accesarea API-ului.
Problema a fost prezentă în Travis CI din 3 septembrie până în 10 septembrie. Este de remarcat faptul că informațiile despre vulnerabilitate au fost transmise dezvoltatorilor pe 7 septembrie, dar ca răspuns aceștia au primit doar un răspuns cu recomandarea de a folosi rotația cheilor. Neavând feedback adecvat, cercetătorii au contactat GitHub și i-au propus să îl înscrie pe Travis pe lista neagră. Problema a fost remediată abia pe 10 septembrie după un număr mare de reclamații primite de la diverse proiecte. După incident, pe site-ul Travis CI a fost publicat un raport mai mult decât ciudat despre problemă, care, în loc să informeze despre o remediere a vulnerabilității, conținea doar o recomandare în afara contextului de a schimba cheile de acces în mod ciclic.
În urma protestelor legate de acoperirea mai multor proiecte mari, un raport mai detaliat a fost publicat pe forumul de asistență Travis CI, avertizând că proprietarul unui fork al oricărui depozit public ar putea, prin trimiterea unei cereri de extragere, să declanșeze procesul de construire și să câștige acces neautorizat la variabilele de mediu sensibile ale depozitului original. , setate în timpul asamblarii pe baza câmpurilor din fișierul „.travis.yml” sau definite prin interfața web Travis CI. Astfel de variabile sunt stocate în formă criptată și sunt decriptate numai în timpul asamblarii. Problema a afectat doar depozitele accesibile public care au furk-uri (depozitele private nu sunt susceptibile de atac).
Sursa: opennet.ru