Travis CI uzluksiz integratsiya xizmatida GitHub va Bitbucket’da ishlab chiqilgan loyihalarni sinovdan o‘tkazish va qurish uchun mo‘ljallangan xavfsizlik muammosi (CVE-2021-41077) aniqlandi, bu Travis CI’dan foydalanadigan ommaviy omborlarning sezgir muhit o‘zgaruvchilari mazmunini aniqlash imkonini beradi. . Boshqa narsalar qatorida, zaiflik Travis CI-da raqamli imzolarni yaratish uchun ishlatiladigan kalitlarni, API-ga kirish uchun kirish kalitlari va tokenlarni aniqlash imkonini beradi.
Muammo 3 sentyabrdan 10 sentyabrgacha Travis CI da mavjud edi. Shunisi e'tiborga loyiqki, zaiflik haqida ma'lumot ishlab chiquvchilarga 7 sentyabr kuni uzatilgan, ammo bunga javoban ular faqat kalitlarni aylantirishdan foydalanish tavsiyasi bilan javob olishgan. Tegishli fikr-mulohazalarni olmagan tadqiqotchilar GitHub bilan bog'lanib, Travisni qora ro'yxatga kiritishni taklif qilishdi. Muammo faqat 10-sentabr kuni turli loyihalardan kelib tushgan ko‘plab shikoyatlardan so‘ng bartaraf etildi. Hodisadan so'ng, Travis CI veb-saytida muammo haqida g'alati hisobot e'lon qilindi, unda zaiflikni tuzatish haqida xabar berish o'rniga, kirish kalitlarini davriy ravishda o'zgartirish bo'yicha kontekstdan tashqari tavsiyalar mavjud edi.
Bir nechta yirik loyihalar tomonidan yashirilganligi haqidagi norozilikdan so'ng, Travis CI qo'llab-quvvatlash forumida batafsilroq hisobot e'lon qilindi, unda har qanday ommaviy omborning vilkalari egasi tortib olish so'rovini yuborish orqali qurilish jarayonini boshlashi va daromad keltirishi mumkinligi haqida ogohlantirildi. asl omborning sezgir muhit oʻzgaruvchilariga ruxsatsiz kirish. , “.travis.yml” faylidagi maydonlar asosida yigʻish paytida oʻrnatiladi yoki Travis CI veb-interfeysi orqali aniqlanadi. Bunday o'zgaruvchilar shifrlangan shaklda saqlanadi va faqat yig'ish paytida shifrdan chiqariladi. Muammo faqat vilkalari bo'lgan umumiy foydalanish mumkin bo'lgan omborlarga ta'sir qildi (xususiy omborlar hujumga moyil emas).
Manba: opennet.ru