Travis CI 持续集成服务中发现了一个安全问题 (CVE-2021-41077),该服务旨在测试和构建在 GitHub 和 Bitbucket 上开发的项目,该服务允许使用 Travis CI 的公共存储库的敏感环境变量的内容被泄露。除此之外,该漏洞还可以让您找到 Travis CI 中用于生成数字签名的密钥、访问密钥和用于访问 API 的令牌。
该问题在 3 月 10 日至 7 月 10 日期间出现在 Travis CI 中。值得注意的是,有关该漏洞的信息已于 XNUMX 月 XNUMX 日发送给开发人员,但他们仅收到回复,建议使用密钥轮换。由于没有收到足够的反馈,研究人员联系了 GitHub 并提议将 Travis 列入黑名单。在收到来自各个项目的大量投诉后,该问题直到XNUMX月XNUMX日才得到解决。事件发生后,Travis CI 网站上发布了一份关于该问题的奇怪报告,该报告没有告知该漏洞的修复方法,而是仅包含一条断章取义的建议,即循环更改访问密钥。
在对几个大型项目的掩盖行为提出强烈抗议之后,Travis CI 支持论坛上发布了一份更详细的报告,警告任何公共存储库的分叉所有者都可以通过提交拉取请求来触发构建过程并获得收益未经授权访问原始存储库的敏感环境变量。在组装期间根据“.travis.yml”文件中的字段进行设置或通过 Travis CI Web 界面定义。此类变量以加密形式存储,并且仅在汇编期间解密。该问题仅影响具有分叉的可公开访问的存储库(私有存储库不易受到攻击)。
来源: opennet.ru