هڪ سيڪيورٽي مسئلو (CVE-2021-41077) Travis CI مسلسل انضمام جي خدمت ۾ سڃاڻپ ڪئي وئي آهي، GitHub ۽ Bitbucket تي ترقي يافته منصوبن جي جانچ ۽ تعمير لاء ٺهيل آهي، جيڪا اجازت ڏئي ٿي ته حساس ماحول جي متغيرات جي مواد کي استعمال ڪندي ٽريس سي آء استعمال ڪندي پبلڪ ريپوزٽريز جي حساس ماحول جي متغيرن کي. . ٻين شين جي وچ ۾، خطرات توهان کي ڳولڻ جي اجازت ڏئي ٿي Travis CI ۾ استعمال ٿيل چابيون ڊجيٽل دستخط پيدا ڪرڻ لاءِ، رسائي جي چاٻيون ۽ API تائين رسائي لاءِ ٽوڪن.
مسئلو ٽريوس سي آءِ ۾ 3 سيپٽمبر کان 10 سيپٽمبر تائين موجود هو. اهو قابل ذڪر آهي ته نقصان جي باري ۾ معلومات 7 سيپٽمبر تي ڊولپرز ڏانهن منتقل ڪئي وئي هئي، پر جواب ۾ انهن کي صرف هڪ جواب مليو آهي هڪ سفارش سان گڏ اهم گردش استعمال ڪرڻ جي. مناسب موٽ نه ملڻ ڪري، محققن GitHub سان رابطو ڪيو ۽ ٽريس کي بليڪ لسٽ ڪرڻ جي تجويز ڏني. 10 سيپٽمبر تي مختلف منصوبن بابت وڏي تعداد ۾ شڪايتون ملڻ بعد مسئلو حل ڪيو ويو. واقعي کان پوء، مسئلي جي باري ۾ هڪ کان وڌيڪ عجيب رپورٽ Travis CI ويب سائيٽ تي شايع ڪيو ويو، جنهن ۾، نقصان جي حل جي باري ۾ ڄاڻ ڏيڻ جي بدران، صرف رسائي جي چابمن کي تبديل ڪرڻ لاء ٻاهرئين حوالي جي سفارش شامل هئي.
ڪيترن ئي وڏن منصوبن جي احاطي تي ڪاوڙ جي پٺيان، ٽريس سي آئي سپورٽ فورم تي هڪ وڌيڪ تفصيلي رپورٽ شايع ڪئي وئي، خبردار ڪيو ويو ته ڪنهن به عوامي ذخيري جي ڪانٽو جو مالڪ، پل جي درخواست جمع ڪري، تعمير جي عمل کي متحرڪ ڪري ۽ حاصل ڪري سگھي ٿو. اصل مخزن جي حساس ماحول جي متغير تائين غير مجاز رسائي. اهڙا variables encrypted فارم ۾ ذخيرو ٿيل آهن ۽ صرف اسيمبلي دوران decrypted آهن. مسئلو صرف عوامي طور تي پهچندڙ ذخيرن کي متاثر ڪيو جن ۾ ڪانٽيون آهن (نجي مخزن حملن لاءِ حساس نه آهن).
جو ذريعو: opennet.ru