Masalah kaamanan (CVE-2021-41077) parantos diidentifikasi dina jasa integrasi kontinyu Travis CI, dirancang pikeun nguji sareng ngawangun proyék anu dikembangkeun dina GitHub sareng Bitbucket, anu ngamungkinkeun eusi variabel lingkungan sénsitip tina repositori umum nganggo Travis CI tiasa diungkabkeun. . Diantara hal séjén, kerentanan ngamungkinkeun anjeun pikeun mendakan konci anu dianggo dina Travis CI pikeun ngahasilkeun tanda tangan digital, konci aksés sareng token pikeun ngakses API.
Masalahna aya di Travis CI ti 3 Séptémber nepi ka 10 Séptémber. Catet yén inpormasi ngeunaan kerentanan dikirimkeun ka pamekar dina 7 Séptémber, tapi pikeun ngaréspon aranjeunna ngan ukur nampi balesan kalayan rekomendasi pikeun nganggo rotasi konci. Saatos henteu nampi tanggapan anu nyukupan, panaliti ngahubungi GitHub sareng ngajukeun daptar hideung Travis. Masalahna dibenerkeun ngan dina 10 Séptémber saatos seueur keluhan anu ditampi tina sababaraha proyék. Sanggeus kajadian, laporan leuwih ti aneh ngeunaan masalah ieu diterbitkeun dina ramatloka Travis CI, nu, tinimbang informing ngeunaan fix pikeun kerentanan, ngan ngandung hiji kaluar-of-konteks rekomendasi pikeun ngarobah kenop aksés cyclically.
Saatos bantahan ngeunaan panutupan ku sababaraha proyék ageung, laporan anu langkung rinci diterbitkeun dina forum dukungan Travis CI, ngingetkeun yén anu gaduh garpu tina gudang umum tiasa, ku ngirimkeun pamundut tarik, memicu prosés ngawangun sareng kéngingkeun. aksés teu sah kana variabel lingkungan sénsitip tina Repository aslina. , Nyetél salila assembly dumasar kana widang tina file ".travis.yml" atawa diartikeun ngaliwatan panganteur web Travis CI. Variabel sapertos disimpen dina bentuk énkripsi sareng ngan ukur didekripsi nalika dirakit. Masalahna ngan ukur mangaruhan repositori anu tiasa diaksés ku masarakat anu gaduh garpu (repositori pribadi henteu rentan ka serangan).
sumber: opennet.ru