Suala la usalama (CVE-2021-41077) limetambuliwa katika huduma ya ujumuishaji endelevu ya Travis CI, iliyoundwa kwa ajili ya kupima na kujenga miradi iliyotengenezwa kwenye GitHub na Bitbucket, ambayo inaruhusu yaliyomo katika vigezo nyeti vya mazingira ya hazina za umma zinazotumia Travis CI kufichuliwa. . Miongoni mwa mambo mengine, uwezekano wa kuathiriwa unakuruhusu kupata funguo zinazotumiwa katika Travis CI kutengeneza saini za kidijitali, funguo za ufikiaji na tokeni za kufikia API.
Tatizo lilikuwepo katika Travis CI kuanzia Septemba 3 hadi Septemba 10. Ni vyema kutambua kwamba maelezo kuhusu uwezekano wa kuathiriwa yalitumwa kwa wasanidi programu mnamo Septemba 7, lakini katika jibu walipokea jibu lenye pendekezo la kutumia ufunguo wa kuzungusha. Kwa kuwa hawakupokea maoni ya kutosha, watafiti waliwasiliana na GitHub na kupendekeza kuorodheshwa kwa Travis. Tatizo lilitatuliwa tu Septemba 10 baada ya idadi kubwa ya malalamiko yaliyopokelewa kutoka kwa miradi mbalimbali. Baada ya tukio hilo, ripoti zaidi ya ajabu kuhusu tatizo ilichapishwa kwenye tovuti ya Travis CI, ambayo, badala ya kufahamisha kuhusu kurekebisha athari, ilikuwa na pendekezo lisilo la muktadha la kubadilisha funguo za ufikiaji kwa mzunguko.
Kufuatia kilio juu ya kufichwa na miradi kadhaa mikubwa, ripoti ya kina zaidi ilichapishwa kwenye jukwaa la usaidizi la Travis CI, ikionya kwamba mmiliki wa uma wa hazina yoyote ya umma anaweza, kwa kuwasilisha ombi la kuvuta, kusababisha mchakato wa ujenzi na kupata faida. ufikiaji usioidhinishwa wa vipengee nyeti vya mazingira vya hazina asili. , iliyowekwa wakati wa kuunganisha kulingana na sehemu kutoka kwa faili ya ".travis.yml" au iliyofafanuliwa kupitia kiolesura cha wavuti cha Travis CI. Vigezo vile huhifadhiwa katika fomu iliyosimbwa na husimbwa tu wakati wa mkusanyiko. Tatizo liliathiri tu hazina zinazoweza kufikiwa na umma ambazo zina uma (hazina za kibinafsi haziwezi kushambuliwa).
Chanzo: opennet.ru