Một vấn đề bảo mật (CVE-2021-41077) đã được xác định trong dịch vụ tích hợp liên tục Travis CI, được thiết kế để thử nghiệm và xây dựng các dự án được phát triển trên GitHub và Bitbucket, cho phép tiết lộ nội dung của các biến môi trường nhạy cảm của kho công cộng sử dụng Travis CI . Trong số những thứ khác, lỗ hổng này cho phép bạn tìm ra các khóa được sử dụng trong Travis CI để tạo chữ ký số, khóa truy cập và mã thông báo để truy cập API.
Sự cố đã xuất hiện ở Travis CI từ ngày 3 tháng 10 đến ngày 7 tháng 10. Đáng chú ý là thông tin về lỗ hổng đã được truyền đến các nhà phát triển vào ngày XNUMX tháng XNUMX, nhưng đáp lại họ chỉ nhận được phản hồi kèm theo khuyến nghị sử dụng tính năng xoay vòng khóa. Chưa nhận được phản hồi đầy đủ, các nhà nghiên cứu đã liên hệ với GitHub và đề xuất đưa Travis vào danh sách đen. Sự cố chỉ được khắc phục vào ngày XNUMX tháng XNUMX sau khi nhận được một số lượng lớn khiếu nại từ các dự án khác nhau. Sau sự cố, một báo cáo kỳ lạ hơn về vấn đề này đã được công bố trên trang web Travis CI, thay vì thông báo về cách khắc phục lỗ hổng bảo mật, trang web này chỉ đưa ra khuyến nghị ngoài ngữ cảnh để thay đổi khóa truy cập theo chu kỳ.
Sau sự phản đối kịch liệt về việc che đậy của một số dự án lớn, một báo cáo chi tiết hơn đã được xuất bản trên diễn đàn hỗ trợ Travis CI, cảnh báo rằng chủ sở hữu của một nhánh của bất kỳ kho lưu trữ công cộng nào có thể, bằng cách gửi yêu cầu kéo, kích hoạt quá trình xây dựng và đạt được lợi ích. truy cập trái phép vào các biến môi trường nhạy cảm của kho lưu trữ gốc, được thiết lập trong quá trình lắp ráp dựa trên các trường từ tệp “.travis.yml” hoặc được xác định thông qua giao diện web Travis CI. Các biến như vậy được lưu trữ ở dạng mã hóa và chỉ được giải mã trong quá trình lắp ráp. Vấn đề chỉ ảnh hưởng đến các kho lưu trữ có thể truy cập công khai có phân nhánh (các kho lưu trữ riêng tư không dễ bị tấn công).
Nguồn: opennet.ru