Ett säkerhetsproblem (CVE-2021-41077) har identifierats i Travis CI kontinuerliga integrationstjänst, designad för att testa och bygga projekt utvecklade på GitHub och Bitbucket, vilket gör att innehållet i känsliga miljövariabler i offentliga arkiv som använder Travis CI kan avslöjas . Bland annat låter sårbarheten dig ta reda på nycklarna som används i Travis CI för att generera digitala signaturer, åtkomstnycklar och tokens för åtkomst till API:et.
Problemet fanns i Travis CI från 3 september till 10 september. Det är anmärkningsvärt att information om sårbarheten överfördes till utvecklarna den 7 september, men som svar fick de bara ett svar med en rekommendation att använda nyckelrotation. Efter att inte ha fått adekvat feedback kontaktade forskarna GitHub och föreslog att Travis skulle svartlistas. Problemet åtgärdades först den 10 september efter ett stort antal klagomål från olika projekt. Efter incidenten publicerades en mer än märklig rapport om problemet på Travis CI-webbplatsen, som istället för att informera om en fix för sårbarheten, bara innehöll en rekommendation utanför sammanhanget att ändra åtkomstnycklar cykliskt.
Efter ramaskri över mörkläggningen av flera stora projekt publicerades en mer detaljerad rapport på Travis CI supportforum, som varnade för att ägaren av en gaffel till ett offentligt förvar kan, genom att skicka in en pull-begäran, utlösa byggprocessen och vinna obehörig åtkomst till känsliga miljövariabler i det ursprungliga förvaret. , inställd under montering baserat på fält från filen ".travis.yml" eller definierade via Travis CI-webbgränssnittet. Sådana variabler lagras i krypterad form och dekrypteras endast under montering. Problemet påverkade bara offentligt tillgängliga förråd som har gafflar (privata förråd är inte mottagliga för attack).
Källa: opennet.ru