Масъалаи амниятӣ (CVE-2021-41077) дар хидмати ҳамгироии муттасили Travis CI муайян карда шуд, ки барои озмоиш ва сохтани лоиҳаҳои дар GitHub ва Bitbucket таҳияшуда тарҳрезӣ шудааст, ки имкон медиҳад мундариҷаи тағирёбандаҳои муҳити ҳассоси анборҳои ҷамъиятӣ бо истифода аз Travis CI ошкор карда шавад. . Дар байни чизҳои дигар, осебпазирӣ ба шумо имкон медиҳад, ки калидҳоеро, ки дар Travis CI барои тавлиди имзоҳои рақамӣ, калидҳои дастрасӣ ва нишонаҳо барои дастрасӣ ба API истифода мешаванд, пайдо кунед.
Мушкилот дар Travis CI аз 3 сентябр то 10 сентябр мавҷуд буд. Ҷолиби диққат аст, ки маълумот дар бораи осебпазирӣ ба таҳиягарон 7 сентябр интиқол дода шуд, аммо дар посух онҳо танҳо бо тавсияи истифодаи гардиши калид ҷавоб гирифтанд. Пас аз гирифтани фикру мулоҳизаҳои мувофиқ, муҳаққиқон бо GitHub тамос гирифтанд ва пешниҳод карданд, ки Трависро ба рӯйхати сиёҳ дохил кунанд. Мушкилот танҳо рӯзи 10 сентябр пас аз ворид шудани шикоятҳои зиёд аз лоиҳаҳои гуногун ҳал карда шуд. Пас аз ин ҳодиса, дар вебсайти Travis CI гузориши аҷибе дар бораи мушкилот нашр шуд, ки ба ҷои огоҳӣ дар бораи ислоҳи осебпазирӣ, танҳо як тавсияи берун аз контекст барои тағир додани калидҳои дастрасӣ ба таври даврӣ иборат буд.
Пас аз эътирозҳо дар бораи пӯшонидани якчанд лоиҳаҳои калон, дар форуми дастгирии Travis CI гузориши муфассал нашр карда шуд ва ҳушдор медиҳад, ки соҳиби як порчаи ҳама гуна анбори ҷамъиятӣ бо пешниҳоди дархости кашидан метавонад раванди сохтмонро оғоз кунад ва фоида ба даст орад. дастрасии беиҷозат ба тағирёбандаҳои муҳити ҳассоси анбори аслӣ. , ҳангоми васлкунӣ дар асоси майдонҳои файли ".travis.yml" ё тавассути веб интерфейси Travis CI муайян карда мешавад. Чунин тағирёбандаҳо дар шакли рамзгузорӣ нигоҳ дошта мешаванд ва танҳо ҳангоми васлкунӣ рамзкушо карда мешаванд. Мушкилот танҳо ба анборҳои дастраси оммавӣ, ки вилка доранд, таъсир расонд (анборҳои хусусӣ ба ҳамла ҳассос нестанд).
Манбаъ: opennet.ru