புரோஹோஸ்டர் > Блог > இணைய செய்தி > டிராவிஸ் CI இல் உள்ள பாதிப்பு பொது களஞ்சிய விசைகளின் கசிவுக்கு வழிவகுக்கிறது

டிராவிஸ் CI இல் உள்ள பாதிப்பு பொது களஞ்சிய விசைகளின் கசிவுக்கு வழிவகுக்கிறது

டிராவிஸ் சிஐ தொடர்ச்சியான ஒருங்கிணைப்பு சேவையில் ஒரு பாதுகாப்புச் சிக்கல் (CVE-2021-41077) கண்டறியப்பட்டுள்ளது, இது கிட்ஹப் மற்றும் பிட்பக்கெட்டில் உருவாக்கப்பட்ட சோதனை மற்றும் கட்டுமானத் திட்டங்களுக்காக வடிவமைக்கப்பட்டுள்ளது, இது டிராவிஸ் CI ஐப் பயன்படுத்தும் பொது களஞ்சியங்களின் உணர்திறன் சூழல் மாறிகளின் உள்ளடக்கங்களை வெளிப்படுத்த அனுமதிக்கிறது. . மற்றவற்றுடன், டிஜிட்டல் கையொப்பங்கள், அணுகல் விசைகள் மற்றும் API ஐ அணுகுவதற்கான டோக்கன்களை உருவாக்க டிராவிஸ் CI இல் பயன்படுத்தப்படும் விசைகளைக் கண்டறிய பாதிப்பு உங்களை அனுமதிக்கிறது.

செப்டம்பர் 3 முதல் செப்டம்பர் 10 வரை டிராவிஸ் சிஐயில் பிரச்சனை இருந்தது. பாதிப்பு குறித்த தகவல்கள் செப்டம்பர் 7 ஆம் தேதி டெவலப்பர்களுக்கு அனுப்பப்பட்டது என்பது குறிப்பிடத்தக்கது, ஆனால் அதற்கு பதிலளிக்கும் விதமாக அவர்கள் முக்கிய சுழற்சியைப் பயன்படுத்துவதற்கான பரிந்துரையுடன் மட்டுமே பதிலைப் பெற்றனர். போதுமான கருத்துக்களைப் பெறாததால், ஆராய்ச்சியாளர்கள் கிட்ஹப்பைத் தொடர்புகொண்டு டிராவிஸை தடுப்புப்பட்டியலில் சேர்க்க முன்மொழிந்தனர். பல்வேறு திட்டங்களில் இருந்து ஏராளமான புகார்கள் வந்ததையடுத்து, செப்டம்பர் 10ம் தேதிதான் பிரச்னை சரி செய்யப்பட்டது. இந்தச் சம்பவத்திற்குப் பிறகு, டிராவிஸ் CI இணையதளத்தில் பிரச்சனையைப் பற்றிய ஒரு விசித்திரமான அறிக்கை வெளியிடப்பட்டது, இது பாதிப்புக்கான தீர்வைப் பற்றி தெரிவிப்பதற்குப் பதிலாக, அணுகல் விசைகளை சுழற்சி முறையில் மாற்றுவதற்கான சூழலுக்கு அப்பாற்பட்ட பரிந்துரையை மட்டுமே கொண்டுள்ளது.

பல பெரிய திட்டங்களால் மூடிமறைக்கப்பட்டதைத் தொடர்ந்து, டிராவிஸ் CI ஆதரவு மன்றத்தில் ஒரு விரிவான அறிக்கை வெளியிடப்பட்டது, எந்தவொரு பொது களஞ்சியத்தின் உரிமையாளர் ஒரு இழுப்பு கோரிக்கையைச் சமர்ப்பிப்பதன் மூலம், கட்டுமான செயல்முறையைத் தூண்டி ஆதாயமடையலாம் என்று எச்சரித்தார். அசல் களஞ்சியத்தின் உணர்திறன் சூழல் மாறிகளுக்கு அங்கீகரிக்கப்படாத அணுகல். , ".travis.yml" கோப்பிலிருந்து வரும் புலங்களின் அடிப்படையில் அமைக்கப்படும் அல்லது டிராவிஸ் CI இணைய இடைமுகம் மூலம் வரையறுக்கப்படுகிறது. இத்தகைய மாறிகள் மறைகுறியாக்கப்பட்ட வடிவத்தில் சேமிக்கப்படுகின்றன மற்றும் சட்டசபையின் போது மட்டுமே மறைகுறியாக்கப்படுகின்றன. முட்கரண்டிகளைக் கொண்ட பொதுவில் அணுகக்கூடிய களஞ்சியங்களை மட்டுமே சிக்கல் பாதித்தது (தனியார் களஞ்சியங்கள் தாக்குதலுக்கு ஆளாகாது).

ஆதாரம்: opennet.ru

கருத்தைச் சேர்