Travis CI漏洞暴露了数千个开源项目的秘密

持续集成供应商Travis CI修补了一个严重的安全漏洞，该漏洞暴露了API密钥、访问令牌和凭据，可能会使使用公共源代码存储库的组织面临进一步攻击的风险。

问题—；追踪号为CVE-2021-41077—；涉及在软件构建过程中未经授权访问和窃取与公共开源项目相关的秘密环境数据。据说，这一问题在9月3日至9月10日的八天时间内一直存在。

以太坊的菲利克斯·兰格（Felix Lange）被认为是9月7日发现泄漏的人，该公司的佩特尔·斯齐拉吉（Péter Szilágyi）指出，“任何人都可以将这些泄漏物过滤掉，并在1000多个[组织]中获得横向移动。”

Travis CI是一个托管的CI/CD（持续集成和持续部署的缩写）解决方案，用于构建和测试托管在GitHub和Bitbucket等源代码存储库系统上的软件项目。

漏洞描述写道：“travis服务所需的行为（如果.travis.yml是由客户在本地创建的，并添加到git中）是以防止公众访问特定于客户的秘密环境数据（如签名密钥、访问凭据和API令牌）的方式执行构建。”。“然而，在规定的8天时间间隔内，机密数据可能会泄露给未经授权的参与者，这些参与者在构建过程中分叉公共存储库并打印文件。”

换句话说，从另一个公共存储库派生的公共存储库可以提交一个pull请求，该请求可以获取在原始上游存储库中设置的秘密环境变量。Travis CI在其自己的文档中指出，“加密的环境变量不可用于从forks提取请求，因为将此类信息暴露于未知代码中存在安全风险。”

它还承认，由于外部拉动请求而产生的风险：“从上游存储库的分支发送的pull请求可能会被操纵以暴露环境变量。上游存储库的维护人员无法抵御这种攻击，因为任何在GitHub上分支存储库的人都可以发送pull请求。”

Szilágyi还指责Travis CI淡化事件，未能承认问题的“严重性”，同时还敦促GitHub因其糟糕的安全态势和漏洞披露流程而禁止该公司。“经过三天多个项目的压力，[Travis CI]在10日悄悄解决了这个问题，”斯齐拉吉在推特上写道。“没有分析，没有安全报告，没有验尸，没有警告任何用户他们的秘密可能被盗。”

总部位于柏林的DevOps平台公司于9月13日发布了一份简明扼要的“安全公告”，建议用户定期轮换密钥，随后在其社区论坛上发布了第二条通知，称未发现任何证据表明该漏洞被恶意方利用。

Szilágyi补充说：“由于[Travis CI]处理这种情况的方式极不负责任，而且他们随后拒绝就可能泄露的秘密向用户发出警告，我们只能建议所有人立即无限期地离开Travis。”。