Bol identifikovaný bezpečnostný problém (CVE-2021-41077) v službe nepretržitej integrácie Travis CI, ktorá je navrhnutá na testovanie a vytváranie projektov vyvinutých na GitHub a Bitbucket, čo umožňuje odhaliť obsah citlivých premenných prostredia verejných úložísk pomocou Travis CI. . Zraniteľnosť vám okrem iného umožňuje zistiť kľúče používané v Travis CI na generovanie digitálnych podpisov, prístupových kľúčov a tokenov na prístup k API.
Problém bol v Travis CI od 3. septembra do 10. septembra. Pozoruhodné je, že informácie o zraniteľnosti boli vývojárom odovzdané 7. septembra, no ako odpoveď dostali iba odpoveď s odporúčaním použiť striedanie kľúčov. Keďže výskumníci nedostali primeranú spätnú väzbu, kontaktovali GitHub a navrhli zaradiť Travisa na čiernu listinu. Problém bol odstránený až 10. septembra po veľkom počte sťažností prijatých z rôznych projektov. Po incidente bola na stránke Travis CI zverejnená viac než podivná správa o probléme, ktorá namiesto informovania o oprave zraniteľnosti obsahovala len vytrhnuté odporúčanie cyklicky meniť prístupové kľúče.
Po rozhorčení nad zakrývaním niekoľkých veľkých projektov bola na fóre podpory Travis CI zverejnená podrobnejšia správa, ktorá varovala, že vlastník forku akéhokoľvek verejného úložiska by mohol odoslaním žiadosti o stiahnutie spustiť proces zostavovania a získať neoprávnený prístup k citlivým premenným prostredia pôvodného úložiska. , nastavený počas zostavovania na základe polí zo súboru „.travis.yml“ alebo definovaných cez webové rozhranie Travis CI. Takéto premenné sú uložené v zašifrovanej podobe a dešifrujú sa až pri zostavovaní. Problém sa týkal iba verejne prístupných úložísk, ktoré majú forky (súkromné úložiská nie sú náchylné na útok).
Zdroj: opennet.ru