У сервісі безперервної інтеграції Travis CI, призначеному для тестування та складання проектів, що розробляються на GitHub і Bitbucket, виявлено проблему з безпекою (CVE-2021-41077), що дозволяє дізнатися про вміст конфіденційних змінних оточення публічних репозиторіїв, що використовують Travis CI. У тому числі вразливість дозволяє дізнатися ключі, що використовуються в Travis CI для формування цифрових підписів, ключі доступу і токени для звернення до API.
Проблема була у Travis CI з 3 по 10 вересня. Примітно, що інформацію про вразливість було передано розробникам 7 вересня, але у відповідь лише отримана відписка з рекомендацією використовувати ротацію ключів. Не отримавши належний зворотний зв'язок дослідники зв'язалися з GitHub і запропонували занести Travis до чорного списку. Проблема була усунена лише 10 вересня після великої кількості скарг, що надійшли від різних проектів. Після інциденту на сайті компанії Travis CI було опубліковано більш ніж дивний звіт про проблему, в якому замість інформування про виправлення вразливості містилася лише зазначена поза контекстом рекомендація циклічно змінювати ключі доступу.
Після обурення прихованням відомостей, висловленим декількома великими проектами, у форумі підтримки Travis CI був опублікований більш докладний звіт, в якому попереджалося, що власник форки будь-якого публічного репозиторію через відправку pull-запиту міг ініціювати процес складання та отримати неавторизований доступ до конфіденційних. , що виставляється під час збирання на основі полів з файлу ".travis.yml" або визначається через web-інтерфейс Travis CI. Подібні змінні зберігаються у зашифрованому вигляді та розшифровуються лише під час складання. Проблема стосувалася лише публічно доступних репозиторіїв, у яких є форки (приватні репозиторії не схильні до атаки).
Джерело: opennet.ru