Безбедносни проблем (ЦВЕ-2021-41077) је идентификован у услузи Травис ЦИ континуиране интеграције, дизајнираној за тестирање и изградњу пројеката развијених на ГитХуб-у и Битбуцкет-у, који омогућава откривање садржаја осетљивих варијабли окружења јавних репозиторијума који користе Травис ЦИ . Између осталог, рањивост вам омогућава да сазнате кључеве који се користе у Травис ЦИ за генерисање дигиталних потписа, приступних кључева и токена за приступ АПИ-ју.
Проблем је био присутан у Травис ЦИ од 3. до 10. септембра. Важно је напоменути да су информације о рањивости пренете програмерима 7. септембра, али су као одговор добили само одговор са препоруком да користе ротацију кључева. Пошто нису добили адекватне повратне информације, истраживачи су контактирали ГитХуб и предложили стављање Трависа на црну листу. Проблем је отклоњен тек 10. септембра након великог броја притужби разних пројеката. Након инцидента, на сајту Травис ЦИ објављен је више него чудан извештај о проблему, који је, уместо обавештења о поправци рањивости, садржао само препоруку ван контекста да се приступни кључеви мењају циклично.
Након негодовања због прикривања од стране неколико великих пројеката, детаљнији извештај је објављен на форуму подршке Травис ЦИ, у којем се упозорава да би власник виљушке било ког јавног спремишта могао, подношењем захтева за повлачење, покренути процес изградње и добити неовлашћени приступ осетљивим варијаблама окружења оригиналног спремишта. , постављеним током асемблера на основу поља из датотеке “.травис.имл” или дефинисаним преко Травис ЦИ веб интерфејса. Такве варијабле се чувају у шифрованом облику и дешифрују се само током склапања. Проблем је утицао само на јавно доступна спремишта која имају виљушке (приватна спремишта нису подложна нападима).
Извор: опеннет.ру