Travis CI مسلسل انضمام کی خدمت میں ایک سیکورٹی مسئلہ (CVE-2021-41077) کی نشاندہی کی گئی ہے، جسے GitHub اور Bitbucket پر تیار کردہ پروجیکٹس کو جانچنے اور بنانے کے لیے ڈیزائن کیا گیا ہے، جو آپ کو Travis کا استعمال کرتے ہوئے عوامی ذخیروں کے خفیہ ماحول کے متغیرات کے مواد کو تلاش کرنے کی اجازت دیتا ہے۔ سی آئی دیگر چیزوں کے علاوہ، کمزوری آپ کو ٹریوس سی آئی میں ڈیجیٹل دستخط، رسائی کی چابیاں اور API تک رسائی کے لیے ٹوکن بنانے کے لیے استعمال ہونے والی کلیدوں کو تلاش کرنے کی اجازت دیتی ہے۔
یہ مسئلہ 3 سے 10 ستمبر تک Travis CI میں موجود تھا۔ یہ قابل ذکر ہے کہ خطرے کے بارے میں معلومات 7 ستمبر کو ڈویلپرز کو بھیجی گئی تھی، لیکن صرف ایک جواب موصول ہوا تھا جس میں کلیدی گردش کو استعمال کرنے کی سفارش کی گئی تھی۔ مناسب رائے نہ ملنے پر محققین نے GitHub سے رابطہ کیا اور ٹریوس کو بلیک لسٹ کرنے کی پیشکش کی۔ مختلف پراجیکٹس سے بڑی تعداد میں شکایات موصول ہونے کے بعد 10 ستمبر کو ہی مسئلہ حل کیا گیا۔ اس واقعے کے بعد، ٹریوس سی آئی کی ویب سائٹ پر ایک عجیب و غریب مسئلہ کی رپورٹ شائع ہوئی، جس میں خطرے کے حل کے بارے میں مطلع کرنے کے بجائے، سائیکل تک رسائی کی چابیاں کے لیے صرف سیاق و سباق سے باہر کی سفارش تھی۔
کئی بڑے منصوبوں کی طرف سے معلومات کو روکے جانے پر غم و غصے کے بعد، ٹریوس سی آئی سپورٹ فورم پر ایک مزید تفصیلی رپورٹ پوسٹ کی گئی، جس میں متنبہ کیا گیا کہ کسی بھی عوامی ذخیرے کا کانٹے کا مالک، پل کی درخواست جمع کر کے، تعمیر کا عمل شروع کر سکتا ہے اور غیر مجاز رسائی حاصل کر سکتا ہے۔ ".travis.yml" فائل کے فیلڈز کی بنیاد پر یا Travis CI ویب انٹرفیس کے ذریعے بیان کردہ تعمیراتی وقت پر اصل ذخیرے کے خفیہ ماحولیاتی متغیرات کے لیے۔ اس طرح کے متغیرات کو انکرپٹڈ شکل میں محفوظ کیا جاتا ہے اور صرف تعمیراتی وقت پر ڈکرپٹ کیا جاتا ہے۔ مسئلہ صرف عوامی طور پر قابل رسائی ذخیرہ کو متاثر کرتا ہے جن میں کانٹے ہوتے ہیں (نجی ذخیروں پر حملہ نہیں ہوتا ہے)۔
ماخذ: opennet.ru