Një çështje sigurie (CVE-2021-41077) është identifikuar në shërbimin e integrimit të vazhdueshëm Travis CI, i krijuar për testimin dhe ndërtimin e projekteve të zhvilluara në GitHub dhe Bitbucket, i cili lejon të zbulohet përmbajtja e variablave të ndjeshëm të mjedisit të depove publike që përdorin Travis CI. . Ndër të tjera, dobësia ju lejon të zbuloni çelësat e përdorur në Travis CI për gjenerimin e nënshkrimeve dixhitale, çelësat e aksesit dhe argumentet për të hyrë në API.
Problemi ishte i pranishëm në Travis CI nga 3 shtatori deri më 10 shtator. Vlen të përmendet se informacioni në lidhje me dobësinë u transmetua te zhvilluesit më 7 shtator, por si përgjigje ata morën vetëm një përgjigje me një rekomandim për të përdorur rrotullimin e çelësave. Duke mos marrë reagime adekuate, studiuesit kontaktuan GitHub dhe propozuan që Travis të futej në listën e zezë. Problemi u rregullua vetëm më 10 shtator pas një numri të madh ankesash të ardhura nga projekte të ndryshme. Pas incidentit, një raport më se i çuditshëm për problemin u publikua në faqen e internetit të Travis CI, i cili, në vend që të informonte për një rregullim për dobësinë, përmbante vetëm një rekomandim jashtë kontekstit për të ndryshuar çelësat e aksesit në mënyrë ciklike.
Pas protestave për mbulimin nga disa projekte të mëdha, një raport më i detajuar u botua në forumin e mbështetjes së Travis CI, duke paralajmëruar se pronari i një forku të çdo depoje publike mund, duke paraqitur një kërkesë tërheqjeje, të nxisë procesin e ndërtimit dhe të fitojë akses i paautorizuar në variablat delikate të mjedisit të depove origjinale. , i vendosur gjatë montimit bazuar në fushat nga skedari ".travis.yml" ose i përcaktuar përmes ndërfaqes së internetit të Travis CI. Variabla të tillë ruhen në formë të koduar dhe deshifrohen vetëm gjatë montimit. Problemi preku vetëm depot e aksesueshme publikisht që kanë forks (depot private nuk janë të ndjeshme ndaj sulmit).
Burimi: opennet.ru