GitHub మరియు Bitbucketలో అభివృద్ధి చేయబడిన ప్రాజెక్ట్లను పరీక్షించడం మరియు నిర్మించడం కోసం రూపొందించబడిన ట్రావిస్ CI నిరంతర ఇంటిగ్రేషన్ సేవలో భద్రతా సమస్య (CVE-2021-41077) గుర్తించబడింది, ఇది ట్రావిస్ CIని ఉపయోగించే పబ్లిక్ రిపోజిటరీల యొక్క సున్నితమైన పర్యావరణ వేరియబుల్స్ యొక్క కంటెంట్లను బహిర్గతం చేయడానికి అనుమతిస్తుంది. . ఇతర విషయాలతోపాటు, APIని యాక్సెస్ చేయడానికి డిజిటల్ సంతకాలు, యాక్సెస్ కీలు మరియు టోకెన్లను రూపొందించడానికి ట్రావిస్ CIలో ఉపయోగించే కీలను కనుగొనడానికి దుర్బలత్వం మిమ్మల్ని అనుమతిస్తుంది.
సెప్టెంబర్ 3 నుంచి సెప్టెంబర్ 10 వరకు ట్రావిస్ సీఐలో సమస్య ఉంది. దుర్బలత్వం గురించిన సమాచారం సెప్టెంబర్ 7న డెవలపర్లకు పంపబడటం గమనార్హం, అయితే ప్రతిస్పందనగా వారు కీ రొటేషన్ని ఉపయోగించాలనే సిఫార్సుతో మాత్రమే ప్రత్యుత్తరాన్ని అందుకున్నారు. తగిన ఫీడ్బ్యాక్ అందకపోవడంతో, పరిశోధకులు GitHubని సంప్రదించి ట్రావిస్ను బ్లాక్లిస్ట్ చేయాలని ప్రతిపాదించారు. వివిధ ప్రాజెక్టుల నుంచి పెద్దఎత్తున ఫిర్యాదులు రావడంతో సెప్టెంబర్ 10న మాత్రమే సమస్య పరిష్కరించబడింది. సంఘటన తర్వాత, ట్రావిస్ CI వెబ్సైట్లో సమస్య గురించి వింత కంటే వింత నివేదిక ప్రచురించబడింది, ఇది దుర్బలత్వానికి పరిష్కారం గురించి తెలియజేయడానికి బదులుగా, యాక్సెస్ కీలను చక్రీయంగా మార్చడానికి సందర్భం లేని సిఫార్సును మాత్రమే కలిగి ఉంది.
అనేక పెద్ద ప్రాజెక్ట్లు కప్పిపుచ్చడంపై ఆగ్రహం వ్యక్తం చేసిన తర్వాత, ట్రావిస్ CI సపోర్ట్ ఫోరమ్లో మరింత వివరమైన నివేదిక ప్రచురించబడింది, ఏదైనా పబ్లిక్ రిపోజిటరీ యొక్క ఫోర్క్ యజమాని పుల్ అభ్యర్థనను సమర్పించడం ద్వారా నిర్మాణ ప్రక్రియను ప్రారంభించి లాభం పొందవచ్చని హెచ్చరించింది. అసలైన రిపోజిటరీ యొక్క సున్నితమైన ఎన్విరాన్మెంట్ వేరియబుల్స్కు అనధికారిక యాక్సెస్. , ".travis.yml" ఫైల్ నుండి ఫీల్డ్ల ఆధారంగా అసెంబ్లీ సమయంలో సెట్ చేయబడింది లేదా ట్రావిస్ CI వెబ్ ఇంటర్ఫేస్ ద్వారా నిర్వచించబడింది. ఇటువంటి వేరియబుల్స్ ఎన్క్రిప్టెడ్ రూపంలో నిల్వ చేయబడతాయి మరియు అసెంబ్లీ సమయంలో మాత్రమే డీక్రిప్ట్ చేయబడతాయి. సమస్య ఫోర్క్లను కలిగి ఉన్న పబ్లిక్గా యాక్సెస్ చేయగల రిపోజిటరీలను మాత్రమే ప్రభావితం చేసింది (ప్రైవేట్ రిపోజిటరీలు దాడికి గురికావు).
మూలం: opennet.ru