Arrin amni (CVE-2021-41077) ayaa lagu aqoonsaday adeegga isdhexgalka joogtada ah ee Travis CI, oo loogu talagalay tijaabinta iyo dhisidda mashaariicda lagu sameeyay GitHub iyo Bitbucket, taas oo u oggolaanaysa waxyaabaha ku jira doorsoomayaasha deegaanka xasaasiga ah ee xarumaha dadweynaha iyadoo la adeegsanayo Travis CI in la muujiyo. . Waxyaabaha kale, baylahdu waxay kuu ogolaaneysaa inaad ogaato furayaasha loo isticmaalo Travis CI si loo abuuro saxiixyada dhijitaalka ah, furayaasha gelitaanka iyo calaamadaha gelitaanka API.
Dhibaatadu waxay joogtay Travis CI laga bilaabo Sebtembar 3 ilaa Sebtembar 10. Waxaa xusid mudan in macluumaadka ku saabsan nuglaanshaha loo gudbiyay horumariyeyaasha Sebtembar 7, laakiin jawaabta waxay heleen kaliya jawaab talobixin ah in la isticmaalo wareejinta muhiimka ah. Iyaga oo aan helin jawaab celin ku filan, cilmi-baarayaashu waxay la xiriireen GitHub waxayna soo jeediyeen liiska madow ee Travis. Dhibaatada ayaa la xalliyay kaliya Sebtembar 10 ka dib cabashooyin tiro badan oo ka yimid mashaariic kala duwan. Dhacdada ka dib, warbixin ka badan oo la yaab leh oo ku saabsan dhibaatada ayaa lagu daabacay shabakadda Travis CI, taas oo, halkii laga sheegi lahaa hagaajinta nuglaanta, kaliya waxay ka kooban tahay talo-bixin ka baxsan xaaladda si loo beddelo furayaasha gelitaanka si wareeg ah.
Ka dib qaylo dhaan ka dhalatay daboolida dhowr mashruuc oo waaweyn, warbixin aad u faahfaahsan ayaa lagu daabacay madasha taageerada Travis CI, taasoo ka digaysa in mulkiilaha fargeetada kaydka dadweynaha, isagoo soo gudbinaya codsi jiidis ah, kicinaya habka dhismaha iyo faa'iidada Helitaanka aan la ogalayn ee doorsoomayaasha deegaanka xasaasiga ah ee kaydka asalka ah. , dejiyay inta lagu guda jiro kulan ku salaysan beeraha ".travis.yml" file ama lagu qeexay iyada oo loo marayo Interface web Travis CI. Doorsoomayaasha noocan oo kale ah waxaa lagu kaydiyaa qaab sir ah waxaana la dejiyaa kaliya inta lagu jiro kulanka. Dhibaatadu waxay saamaysay oo keliya kaydka dadweynaha ee la heli karo ee leh fargeeto (xaal gaar ah uma nugula in la weeraro).
Source: opennet.ru