Natukoy ang isang isyu sa seguridad (CVE-2021-41077) sa tuluy-tuloy na serbisyo ng pagsasama ng Travis CI, na idinisenyo para sa pagsubok at pagbuo ng mga proyektong binuo sa GitHub at Bitbucket, na nagbibigay-daan sa mga nilalaman ng sensitibong mga variable sa kapaligiran ng mga pampublikong repositoryo gamit ang Travis CI na maihayag . Sa iba pang mga bagay, ang kahinaan ay nagbibigay-daan sa iyo na malaman ang mga susi na ginamit sa Travis CI para sa pagbuo ng mga digital na lagda, mga access key at mga token para sa pag-access sa API.
Ang problema ay naroroon sa Travis CI mula Setyembre 3 hanggang Setyembre 10. Kapansin-pansin na ang impormasyon tungkol sa kahinaan ay ipinadala sa mga developer noong Setyembre 7, ngunit bilang tugon ay nakatanggap lamang sila ng tugon na may rekomendasyon na gumamit ng key rotation. Dahil hindi nakatanggap ng sapat na feedback, nakipag-ugnayan ang mga mananaliksik sa GitHub at iminungkahi ang pag-blacklist kay Travis. Ang problema ay naayos lamang noong Setyembre 10 matapos ang malaking bilang ng mga reklamo na natanggap mula sa iba't ibang mga proyekto. Pagkatapos ng insidente, isang higit sa kakaibang ulat tungkol sa problema ang nai-publish sa website ng Travis CI, na, sa halip na ipaalam ang tungkol sa isang pag-aayos para sa kahinaan, naglalaman lamang ng isang rekomendasyong wala sa konteksto upang baguhin ang mga access key nang paikot-ikot.
Kasunod ng sigaw sa pagtatakip ng ilang malalaking proyekto, isang mas detalyadong ulat ang nai-publish sa forum ng suporta ng Travis CI, na nagbabala na ang may-ari ng isang tinidor ng anumang pampublikong repository ay maaaring, sa pamamagitan ng pagsusumite ng kahilingan sa paghila, mag-trigger ng proseso ng pagbuo at makakuha. hindi awtorisadong pag-access sa mga sensitibong variable ng kapaligiran ng orihinal na repository. , itinakda sa panahon ng pagpupulong batay sa mga field mula sa ".travis.yml" file o tinukoy sa pamamagitan ng Travis CI web interface. Ang mga naturang variable ay naka-imbak sa naka-encrypt na anyo at decrypted lamang sa panahon ng pagpupulong. Naapektuhan lang ng problema ang mga repositoryong naa-access ng publiko na may mga tinidor (hindi madaling atakehin ang mga pribadong repositoryo).
Pinagmulan: opennet.ru