Уязвимость в Travis CI поставила под угрозу тысячи проектов

Уязвимость в web-сервисе для сборки и тестирования программного обеспечения Travis CI поставила под угрозу тысячи полагающихся на него проектов с открытым исходным кодом. Так, сервис насчитывает порядка 600 тыс. пользователей и используется более чем в 900 тыс. проектов с открытым исходным кодом. По словам исследователя безопасности Феликса Ланжа (Felix Lange), из-за уязвимости в Travis CI злоумышленники могут похитить переменные защищенной среды, такие как ключи для подписи, учетные данные для доступа и токены API.

Проблема, получившая идентификатор CVE-2021-41077, связана с процессом активации Travis CI и затрагивает определенные сборки, созданные в период с 3 по 10 сентября 2021 года.

В рамках процесса активации разработчики должны добавлять в репозитории своих проектов с открытым исходным кодом файл .travis.yml. Этот файл дает Travis CI инструкции, что делать, и может содержать зашифрованные конфиденциальные данные. Еще одно место, где могут быть определены зашифрованные данные, - это web-интерфейс Travis CI. Однако эти данные не предназначены для раскрытия. Согласно документации сервиса, «зашифрованные переменные среды недоступны для извлечения запросов от форков из-за риска раскрытия такой информации неизвестному коду».

В идеале, при запуске Travis CI доступ к переменным защищенной среды должен быть закрыт. Однако из-за уязвимости переменные могут быть доступны любому, кто осуществит форк публичного репозитория и напечатает файлы в процессе сборки.

К счастью, проблема оставалась неисправленной недолго, около восьми дней (Ланж совместно с другими исследователями уведомили о ней производителя 7 сентября). Тем не менее, в качестве меры предосторожности всем использующим Travis CI проектам рекомендуется поменять свои ключи для подписи, учетные данные для доступа и токены API.