Ọrọ aabo kan (CVE-2021-41077) ti ṣe idanimọ ni iṣẹ iṣọpọ ilọsiwaju Travis CI, ti a ṣe apẹrẹ fun idanwo ati awọn iṣẹ akanṣe ile ti o dagbasoke lori GitHub ati Bitbucket, eyiti o fun laaye awọn akoonu ti awọn oniyipada agbegbe ifura ti awọn ibi ipamọ gbogbo eniyan nipa lilo Travis CI lati ṣafihan. . Lara awọn ohun miiran, ailagbara n gba ọ laaye lati wa awọn bọtini ti a lo ninu Travis CI fun ṣiṣẹda awọn ibuwọlu oni nọmba, awọn bọtini iwọle ati awọn ami fun iraye si API.
Iṣoro naa wa ni Travis CI lati Oṣu Kẹsan Ọjọ 3 si Oṣu Kẹsan Ọjọ 10. O jẹ akiyesi pe alaye nipa ailagbara naa ni a gbejade si awọn olupilẹṣẹ ni Oṣu Kẹsan Ọjọ 7, ṣugbọn ni idahun wọn gba esi nikan pẹlu iṣeduro lati lo yiyi bọtini. Lẹhin ti ko gba esi ti o peye, awọn oniwadi kan si GitHub ati daba Travis ti n ṣakiyesi dudu. Iṣoro naa jẹ atunṣe nikan ni Oṣu Kẹsan ọjọ 10 lẹhin nọmba nla ti awọn ẹdun ọkan ti o gba lati awọn iṣẹ akanṣe pupọ. Lẹhin iṣẹlẹ naa, diẹ sii ju ijabọ ajeji nipa iṣoro naa ni a tẹjade lori oju opo wẹẹbu Travis CI, eyiti, dipo ifitonileti nipa atunṣe kan fun ailagbara naa, nikan ni iṣeduro ti ita-ọrọ lati yi awọn bọtini iwọle pada ni cyclically.
Lẹhin igbejade lori ibora nipasẹ ọpọlọpọ awọn iṣẹ akanṣe nla, ijabọ alaye diẹ sii ni a tẹjade lori apejọ atilẹyin Travis CI, ikilọ pe oniwun orita ti ibi ipamọ gbogbo eniyan le, nipa fifisilẹ ibeere fa, fa ilana kikọ ati ere. iraye si laigba aṣẹ si awọn oniyipada agbegbe ifura ti ibi ipamọ atilẹba., ṣeto lakoko apejọ da lori awọn aaye lati faili “.travis.yml” tabi asọye nipasẹ wiwo oju opo wẹẹbu Travis CI. Iru awọn oniyipada ti wa ni ipamọ ni fọọmu ti paroko ati pe wọn jẹ idinku lakoko apejọ nikan. Iṣoro naa kan awọn ibi ipamọ wiwọle ti gbogbo eniyan ti o ni awọn orita (awọn ibi ipamọ aladani ko ni ifaragba si ikọlu).
orisun: opennet.ru