GitHub සහ Bitbucket මත සංවර්ධනය කරන ලද පරීක්ෂණ සහ ගොඩනැගිලි ව්යාපෘති සඳහා නිර්මාණය කර ඇති ට්රැවිස් CI අඛණ්ඩ ඒකාබද්ධ කිරීමේ සේවාවේ ආරක්ෂක ගැටලුවක් (CVE-2021-41077) හඳුනාගෙන ඇත, එමඟින් Travis CI භාවිතා කරන පොදු ගබඩාවල සංවේදී පරිසර විචල්යවල අන්තර්ගතය හෙළි කිරීමට ඉඩ සලසයි. . වෙනත් දේ අතර, අවදානම් බව ඔබට ඩිජිටල් අත්සන්, ප්රවේශ යතුරු සහ API වෙත ප්රවේශ වීම සඳහා ටෝකන උත්පාදනය සඳහා Travis CI හි භාවිතා කරන යතුරු සොයා ගැනීමට ඉඩ සලසයි.
සැප්තැම්බර් 3 සිට සැප්තැම්බර් 10 දක්වා Travis CI හි ගැටලුව පැවතුනි. අවදානම පිළිබඳ තොරතුරු සැප්තැම්බර් 7 වන දින සංවර්ධකයින් වෙත සම්ප්රේෂණය වූ බව සැලකිය යුතු කරුණකි, නමුත් ප්රතිචාර වශයෙන් ඔවුන්ට ලැබුණේ යතුරු භ්රමණය භාවිතා කිරීමට නිර්දේශයක් සහිත පිළිතුරක් පමණි. ප්රමාණවත් ප්රතිපෝෂණ නොලැබීමෙන් පසු, පර්යේෂකයන් GitHub අමතා ට්රැවිස් අසාදු ලේඛනගත කිරීමට යෝජනා කළහ. විවිධ ව්යාපෘතිවලින් ලැබුණු පැමිණිලි විශාල ප්රමාණයකින් පසුව සැප්තැම්බර් 10 වැනිදා පමණක් ගැටලුව විසඳා ඇත. සිද්ධියෙන් පසුව, ගැටලුව පිළිබඳ අමුතු වාර්තාවක් ට්රැවිස් සීඅයි වෙබ් අඩවියේ ප්රකාශයට පත් කරන ලද අතර, එහි අනාරක්ෂිතභාවය සඳහා විසඳුමක් ගැන දැනුම් දෙනවා වෙනුවට, ප්රවේශ යතුරු චක්රීයව වෙනස් කිරීමට සන්දර්භයෙන් බැහැර නිර්දේශයක් පමණක් අඩංගු විය.
විශාල ව්යාපෘති කිහිපයකින් වසන් කිරීම සම්බන්ධයෙන් ඇති වූ විරෝධයෙන් පසුව, වඩාත් සවිස්තරාත්මක වාර්තාවක් ට්රැවිස් සීඅයි ආධාරක සංසදයේ ප්රකාශයට පත් කරන ලද අතර, ඕනෑම පොදු ගබඩාවක දෙබලක හිමිකරුට ඇදීමේ ඉල්ලීමක් ඉදිරිපත් කිරීමෙන්, ගොඩනැගීමේ ක්රියාවලිය අවුලුවාලීමට සහ ලාභ ලැබිය හැකි බවට අනතුරු අඟවන ලදී. මුල් ගබඩාවේ සංවේදී පරිසර විචල්යයන් වෙත අනවසර ප්රවේශය. , “.travis.yml” ගොනුවෙන් ක්ෂේත්ර මත පදනම්ව එකලස් කිරීමේදී සකසන ලද හෝ Travis CI වෙබ් අතුරු මුහුණත හරහා අර්ථ දක්වා ඇත. එවැනි විචල්යයන් සංකේතාත්මක ආකාරයෙන් ගබඩා කර ඇති අතර ඒවා එකලස් කිරීමේදී පමණක් විකේතනය වේ. ගැටලුව බලපෑවේ ගෑරුප්පු ඇති (පුද්ගලික ගබඩාවලට ප්රහාරයට ගොදුරු නොවේ) ප්රසිද්ධියේ ප්රවේශ විය හැකි ගබඩාවලට පමණි.
මූලාශ්රය: opennet.ru