ปัญหาด้านความปลอดภัย (CVE-2021-41077) ได้รับการระบุในบริการบูรณาการอย่างต่อเนื่องของ Travis CI ซึ่งออกแบบมาสำหรับการทดสอบและสร้างโครงการที่พัฒนาบน GitHub และ Bitbucket ซึ่งช่วยให้สามารถเปิดเผยเนื้อหาของตัวแปรสภาพแวดล้อมที่ละเอียดอ่อนของที่เก็บข้อมูลสาธารณะโดยใช้ Travis CI ได้ . เหนือสิ่งอื่นใด ช่องโหว่นี้ทำให้คุณสามารถค้นหาคีย์ที่ใช้ใน Travis CI เพื่อสร้างลายเซ็นดิจิทัล คีย์การเข้าถึง และโทเค็นสำหรับการเข้าถึง API
ปัญหาเกิดขึ้นใน Travis CI ตั้งแต่วันที่ 3 กันยายนถึง 10 กันยายน เป็นที่น่าสังเกตว่าข้อมูลเกี่ยวกับช่องโหว่ได้ถูกส่งไปยังนักพัฒนาเมื่อวันที่ 7 กันยายน แต่ในการตอบสนองพวกเขาได้รับการตอบกลับพร้อมคำแนะนำให้ใช้การหมุนเวียนคีย์เท่านั้น เมื่อไม่ได้รับผลตอบรับที่เพียงพอ นักวิจัยจึงติดต่อ GitHub และเสนอให้ขึ้นบัญชีดำ Travis ปัญหาได้รับการแก้ไขในวันที่ 10 กันยายนเท่านั้น หลังจากได้รับการร้องเรียนจำนวนมากจากโครงการต่างๆ หลังจากเหตุการณ์ดังกล่าว มีการเผยแพร่รายงานที่แปลกประหลาดเกี่ยวกับปัญหาบนเว็บไซต์ Travis CI ซึ่งแทนที่จะแจ้งเกี่ยวกับการแก้ไขช่องโหว่ กลับมีเพียงคำแนะนำที่ไม่อยู่ในบริบทให้เปลี่ยนคีย์การเข้าถึงแบบวนรอบเท่านั้น
หลังจากเสียงโห่ร้องเกี่ยวกับการปกปิดโดยโครงการขนาดใหญ่หลายโครงการ รายงานที่มีรายละเอียดเพิ่มเติมได้รับการเผยแพร่ในฟอรัมสนับสนุน Travis CI โดยเตือนว่าเจ้าของทางแยกของพื้นที่เก็บข้อมูลสาธารณะใด ๆ สามารถทำได้โดยการส่งคำขอดึงเพื่อกระตุ้นกระบวนการสร้างและได้รับ การเข้าถึงตัวแปรสภาพแวดล้อมที่มีความละเอียดอ่อนของที่เก็บดั้งเดิมโดยไม่ได้รับอนุญาต ตั้งค่าระหว่างการประกอบตามฟิลด์จากไฟล์ “.travis.yml” หรือกำหนดผ่านเว็บอินเตอร์เฟส Travis CI ตัวแปรดังกล่าวจะถูกจัดเก็บในรูปแบบที่เข้ารหัสและถูกถอดรหัสในระหว่างการประกอบเท่านั้น ปัญหาดังกล่าวส่งผลต่อพื้นที่เก็บข้อมูลสาธารณะที่เข้าถึงได้ซึ่งมีทางแยกเท่านั้น (พื้นที่เก็บข้อมูลส่วนตัวไม่เสี่ยงต่อการถูกโจมตี)
ที่มา: opennet.ru