GitHub ve Bitbucket üzerinde geliştirilen projeleri test etmek ve oluşturmak için tasarlanan Travis CI sürekli entegrasyon hizmetinde, Travis CI kullanan genel depoların hassas ortam değişkenlerinin içeriğinin açığa çıkmasına olanak tanıyan bir güvenlik sorunu (CVE-2021-41077) belirlendi. . Diğer şeylerin yanı sıra güvenlik açığı, Travis CI'da dijital imzalar oluşturmak için kullanılan anahtarları, erişim anahtarlarını ve API'ye erişim belirteçlerini bulmanıza olanak tanır.
Sorun Travis CI'da 3 Eylül'den 10 Eylül'e kadar mevcuttu. Güvenlik açığıyla ilgili bilgilerin geliştiricilere 7 Eylül'de iletilmesi, ancak yanıt olarak yalnızca anahtar rotasyonunun kullanılması önerisini içeren bir yanıt almaları dikkat çekicidir. Yeterli geri bildirim alamayınca araştırmacılar GitHub ile temasa geçti ve Travis'in kara listeye alınmasını önerdi. Sorun, çeşitli projelerden alınan çok sayıda şikayetin ardından ancak 10 Eylül'de çözüldü. Olaydan sonra, Travis CI web sitesinde sorunla ilgili oldukça tuhaf bir rapor yayınlandı; bu rapor, güvenlik açığına yönelik bir düzeltme hakkında bilgi vermek yerine yalnızca erişim anahtarlarının döngüsel olarak değiştirilmesine yönelik bağlam dışı bir öneri içeriyordu.
Birkaç büyük projenin örtbas edilmesine yönelik tepkilerin ardından, Travis CI destek forumunda daha ayrıntılı bir rapor yayınlandı; bu rapor, herhangi bir halka açık deponun çatalının sahibinin, bir çekme isteği göndererek oluşturma sürecini tetikleyebileceği ve kazanç elde edebileceği konusunda uyarıda bulundu. ".travis.yml" dosyasındaki alanlara göre derleme sırasında ayarlanan veya Travis CI web arayüzü aracılığıyla tanımlanan orijinal deponun hassas ortam değişkenlerine yetkisiz erişim. Bu tür değişkenler şifrelenmiş biçimde saklanır ve şifresi yalnızca montaj sırasında çözülür. Sorun yalnızca çatalları olan, genel erişime açık depoları etkiledi (özel depolar saldırıya açık değildir).
Kaynak: opennet.ru