Travis CI 持續整合服務中發現了一個安全問題(CVE-2021-41077),該服務專為測試和建置在GitHub 和Bitbucket 上開發的專案而設計,該服務允許使用Travis CI 的公共儲存庫的敏感環境變數的內容被洩漏。除此之外,漏洞還可讓您找到 Travis CI 中用於產生數位簽章的金鑰、存取金鑰和用於存取 API 的代幣。
該問題在 3 月 10 日至 7 月 10 日期間出現在 Travis CI 中。值得注意的是,有關該漏洞的資訊已於 XNUMX 月 XNUMX 日發送給開發人員,但他們僅收到回复,建議使用密鑰輪換。由於沒有收到足夠的回饋,研究人員聯繫了 GitHub 並提議將 Travis 列入黑名單。在收到來自各個項目的大量投訴後,該問題直到XNUMX月XNUMX日才解決。事件發生後,Travis CI 網站上發布了一份關於該問題的奇怪報告,該報告沒有告知該漏洞的修復方法,而是僅包含一條斷章取義的建議,即循環更改訪問密鑰。
在對幾個大型專案的掩蓋行為提出強烈抗議後,Travis CI 支援論壇上發布了一份更詳細的報告,警告任何公共儲存庫的分叉所有者都可以透過提交拉取請求來觸發建置流程並取得收益未經授權存取原始儲存庫的敏感環境變數。在組裝期間根據「.travis.yml」檔案中的欄位進行設定或透過 Travis CI Web 介面定義。此類變數以加密形式存儲,並且僅在彙編期間解密。該問題僅影響具有分叉的可公開存取的儲存庫(私有儲存庫不易受到攻擊)。
來源: opennet.ru