Varnostna težava (CVE-2021-41077) je bila ugotovljena v storitvi neprekinjene integracije Travis CI, zasnovani za testiranje in gradnjo projektov, razvitih na GitHub in Bitbucket, ki omogoča razkritje vsebine spremenljivk občutljivega okolja javnih repozitorijev, ki uporabljajo Travis CI. . Ranljivost vam med drugim omogoča, da ugotovite, kateri ključi se uporabljajo v Travis CI za generiranje digitalnih podpisov, ključev za dostop in žetonov za dostop do API-ja.
Težava je bila prisotna v Travis CI od 3. septembra do 10. septembra. Omeniti velja, da so bile informacije o ranljivosti posredovane razvijalcem 7. septembra, vendar so v odgovor prejeli le odgovor s priporočilom za uporabo rotacije ključev. Ker niso prejeli ustreznih povratnih informacij, so raziskovalci stopili v stik z GitHubom in predlagali uvrstitev Travisa na črno listo. Težava je bila odpravljena šele 10. septembra po velikem številu prejetih pritožb iz različnih projektov. Po incidentu je bilo na spletni strani Travis CI objavljeno več kot nenavadno poročilo o težavi, ki je namesto informacije o popravku ranljivosti vsebovalo le izven konteksta priporočilo za ciklično menjavo ključev za dostop.
Po negodovanju več velikih projektov zaradi prikrivanja je bilo na forumu za podporo Travis CI objavljeno podrobnejše poročilo, v katerem je bilo opozorilo, da lahko lastnik razcepa katerega koli javnega repozitorija s predložitvijo zahteve za vleko sproži postopek gradnje in pridobi nepooblaščen dostop do občutljivih spremenljivk okolja izvirnega repozitorija. , nastavljen med sestavljanjem na podlagi polj iz datoteke ».travis.yml« ali definiran prek spletnega vmesnika Travis CI. Takšne spremenljivke so shranjene v šifrirani obliki in se dešifrirajo šele med sestavljanjem. Težava je vplivala samo na javno dostopna skladišča, ki imajo razcepe (zasebna skladišča niso dovzetna za napade).
Vir: opennet.ru