Fel i Travis CI exponerade miljövariabler av tusentals öppen källkodsprojekt

Ett säkerhetsbrist i Travis CI, en programvara för kontinuerlig integration, har exponerat miljövariabler för tusentals projekt med öppen källkod.

Miljövariabler för alla offentliga projekt som använde programvaran var tillgängliga för alla önskemål Tröja och kan därför filtreras bort.

Exponerade miljövariabler

Travis CI är programvara som låter dig testa och distribuera dina applikationer på ett automatiserat sätt. Som en del av normal drift lanserar Travis CI en build med varje ny begäran Tröja. Men om dessa förfrågningar kommer från externa bidragsgivare, läggs inte miljövariablerna till i dessa build av säkerhetsskäl. Faktum är att dessa ofta innehåller känslig information, såsom autentiseringstokens, och måste absolut förbli hemliga.

Men från den 3 till 10 september gjordes de tillgängliga under alla förfrågningar Tröja. Alla offentliga arkiv som använder Travis CI påverkas och därför kan miljövariabler för många projekt med öppen källkod potentiellt hämtas.

Ett otillräckligt svar för utvecklare

Som rapporterats av Ars-Technica, det är inte så mycket felet i sig som retar utvecklarna som svaret från organisationen. Forskaren Felix Lange upptäckte felet och meddelade Travis CI om dess existens den 7 september. Det enda svaret var att föreslå att hemligheterna skulle roteras, vilket inte var tillräckligt för varken forskaren eller Ethereums teamledare Péter Szilágyi, som bad GitHub att svartlista programvaran.

Den 10 september patchades mjukvaran efter största diskretion, utan tillkännagivande och utan förvarning för utvecklarna som var oroliga för att deras projekt hade äventyrats. Efter ytterligare påtryckningar lades en kortfattad säkerhetsbulletin till organisationens webbplats, som bara kortfattat förklarade problemet och påminde utvecklare om behovet av att rotera hemligheter regelbundet. Ett svar som inte kommer att räcka för att lugna Travis CI:s kunder.

Källor: Ars-Technica
, Peter Szilagyi