Travis CI Kusuru, Binlerce Açık Kaynak Projesinin Sırlarını Ortaya Çıkarıyor

Travis CI Kusuru, Binlerce Açık Kaynak Projesinin Sırlarını Ortaya Çıkarıyor



 Sürekli entegrasyon sağlayıcısı Travis CI, API anahtarlarını, erişim belirteçlerini ve kimlik bilgilerini açığa çıkaran ciddi bir güvenlik açığını yamalayarak, genel kaynak kod havuzlarını kullanan kuruluşları potansiyel olarak daha fazla saldırı riskiyle karşı karşıya bıraktı.

CVE-2021-41077 olarak izlenen sorun , yazılım oluşturma işlemi sırasında kamuya açık bir açık kaynak projesiyle ilişkili gizli ortam verilerine yetkisiz erişim ve yağma ile ilgilidir. Sorunun 3 Eylül ile 10 Eylül arasındaki sekiz günlük bir pencerede sürdüğü söyleniyor.

Ethereum Felix Lange şirketin Péter Szilagyi ile 7 Eylül sızıntıyı keşfetmek ile kredi olmuştur işaret olduğunu "herkes bu exfiltrate ve [kuruluşların] 1000'ler içine yanal hareketini elde edebilir.

Travis CI, GitHub ve Bitbucket gibi kaynak kod deposu sistemlerinde barındırılan yazılım projelerini oluşturmak ve test etmek için kullanılan, barındırılan bir CI/CD (sürekli entegrasyon ve sürekli dağıtımın kısaltması) çözümüdür.

"İstenen davranış (.travis.yml bir müşteri tarafından yerel olarak oluşturulduysa ve git'e eklendiyse), bir Travis hizmetinin, imzalama anahtarları gibi müşteriye özel gizli ortam verilerine genel erişimi önleyecek şekilde derlemeler gerçekleştirmesi içindir, erişim kimlik bilgileri ve API belirteçleri", güvenlik açığı açıklaması okur. "Ancak, belirtilen 8 günlük aralıkta, bir derleme işlemi sırasında halka açık bir depoyu çatallayan ve dosyaları yazdıran yetkisiz bir aktöre gizli veriler ifşa edilebilir."

Başka bir deyişle, diğerinden çatallanan bir genel depo, orijinal yukarı akış deposunda ayarlanan gizli çevresel değişkenleri elde edebilen bir çekme isteğinde bulunabilir. Travis CI, kendi belgelerinde, "Şifreli ortam değişkenleri, bu tür bilgileri bilinmeyen kodlara maruz bırakmanın güvenlik riski nedeniyle çatallardan istek çekmek için kullanılamaz" diye belirtiyor .

Ayrıca, harici bir çekme talebinden kaynaklanan maruz kalma riskini de kabul etti: "Üst akış deposunun çatalından gönderilen bir çekme isteği, ortam değişkenlerini açığa çıkarmak için manipüle edilebilir. Yukarı akış deposunun koruyucusu, çekme istekleri olarak bu saldırıya karşı hiçbir korumaya sahip olmaz. GitHub'daki depoyu çatallayan herkes tarafından gönderilebilir."

Szilágyi ayrıca Travis CI'yi olayı küçümsediği ve sorunun "ağırlığını" kabul etmediği için çağırdı ve GitHub'ı zayıf güvenlik duruşu ve güvenlik açığı açıklama süreçleri nedeniyle şirketi yasaklamaya çağırdı. Szilágyi, "Birden fazla projeden gelen üç günlük baskıdan sonra, [Travis CI] sorunu 10'unda sessizce düzeltti" dedi. "Analiz yok, güvenlik raporu yok, otopsi yok, hiçbir kullanıcısını sırlarının çalınmış olabileceği konusunda uyarmıyor."

Berlin merkezli DevOps platform şirketi, 13 Eylül'de , kullanıcılara anahtarlarını düzenli olarak döndürmelerini tavsiye eden kısa bir " güvenlik bülteni " yayınladı ve bunu , topluluk forumlarında hiçbir kanıt bulunmadığını belirten ikinci bir bildirimle takip etti . hata kötü niyetli taraflarca istismar edildi.

Szilágyi, "Travis CI'ın bu durumu son derece sorumsuz bir şekilde ele alma biçimi ve daha sonra kullanıcılarını potansiyel olarak sızdırılmış sırlar hakkında uyarmayı reddetmeleri nedeniyle, herkese yalnızca derhal ve süresiz olarak Travis'ten ayrılmasını önerebiliriz," diye ekledi Szilágyi.

Bu yayınları beğenebilirsiniz