鑽石舞台

持續集成供應商 Travis CI 修復了一個嚴重漏洞，可暴露 API 密鑰、訪問令牌和憑據，可導致使用公開源代碼倉庫的組織機構面臨攻擊風險。

該漏洞的編號為 CVE-2021-41077，和越權訪問權限以及軟件構建過程中公開開源項目相關的秘密環境數據有關。據稱該問題從9月3日到9月10日一直存在，持續了8天的時間窗口。

以太坊的研究員 Felix Lange 在9月7日發現該泄露情況。該公司的研究員Péter Szilágyi 指出，「任何人均可提取這些數據並在數千個組織機構中橫向移動。」

Travis CI 提供託管式CI/CD解決方案，用於構建和測試託管在源代碼倉庫系統如 GitHub 和 Bitbucket 上的軟件項目。

漏洞說明指出，「這種行為（由客戶本地創建 .travis.yml 並添加到 git）供 Travis 服務器執行構建，阻止公開訪問針對客戶的秘密環境數據如簽名密鑰、訪問憑據和 API 令牌。然而，在這8太難的時間裡，越權行動者可暴露機密數據，使其在構建過程中分叉公開倉庫並打印文件。」換句話說，從另外倉庫分叉的公開倉庫可提交 pull 請求，從而獲得在原始上游倉庫中設置的秘密環境變量。Travis CI 公司在文檔中指出，「由於將此類信息暴露給未知代碼可帶來安全風險，因此加密的環境變量無法從分叉pull請求。「

文檔中還證實了源自外部請求的泄露風險，「從上游倉庫分叉發送的 pull 請求可被操控，暴露環境變量。上游倉庫的維護人員無法防禦這種攻擊，因為任何人只要分叉了 GitHub 上的倉庫，即可發送 pull 請求。「

被指對漏洞的嚴重性評估失實

Szilágyi 還稱，Travis CI 降低了對該事件的重要性評估，未能承認問題的「嚴重性「，他督促 GitHub 因這種糟糕的安全態勢和漏洞披露流程而封禁該公司，「迫於多個項目三天的壓力，Travis CI 在9月10日悄悄修復了該漏洞。該公司沒有提供任何分析、安全報告、事後說明，也沒有提醒任何用戶秘密可能已被盜。」

Travis CI 公司在9月14日發布簡短的「安全通告」，建議用戶經常更換密鑰，並在社區論壇再次發布通知稱，未發現該漏洞遭惡意方利用的證據。

Szilágyi 還表示，「鑑於Travis CI 公司極其不負責任的處理方式，且後續拒絕提醒用戶可能存在的秘密泄露情況，我們只能建議所有人立即並無限期離開 Travis。」

原文鏈接：

https://thehackernews.com/2021/09/travis-ci-flaw-exposes-secrets-of.html

文章來源：代碼衛士