Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Travis CI vá lỗi làm lộ khóa bí mật
Ít nhất từ 3/9 đến 10/9, các kho lưu trữ mã nguồn mở sử dụng Travis CI đã để lộ khóa bí mật, thông tin đăng nhập và token.
Travis CI cho phép các nhà phát triển tự động hóa các quy trình để kiểm tra và xây dựng phần mềm. Các nhà phát triển sử dụng hệ thống CI thường xử lý mật khẩu, token truy cập và khóa API không để công khai trong kho source code mà lưu trữ riêng dưới dạng các biến môi trường.
Do một lỗ hổng trong cách Travis CI xử lý các biến môi trường mà kho lưu trữ công khai được tách từ một kho lưu trữ khác có thể gửi một yêu cầu để thu thập các biến môi trường bí mật đặt trong kho lưu trữ upstream ban đầu.
Đó là một vấn đề an ninh nghiêm trọng, đặc biệt là đối với phần mềm được sử dụng rộng rãi như vậy. Tính đến năm 2019, Travis CI đã được sử dụng trong hơn 932.977 dự án mã nguồn mở và bởi hơn 600.000 người dùng. Tìm kiếm trên GitHub cho tệp cấu hình travis.yml trả về hơn 35 triệu kết quả.
Sau khi các nhà nghiên cứu Ethereum Felix Lange phát hiện vấn đề ngày 7/9 đã báo cáo cho Travis CI. Hãng đã sửa lỗi này vào ngày 10/9.
Theo các nhà nghiên cứu, Travis CI đã gấp gáp khắc phục lỗ hổng và không có lời giải thích thỏa đáng cho khách hàng.
Về lỗ hổng, trong cảnh báo an ninh, Travis CI lưu ý rằng nếu một pull request từ một repo phân nhánh được tạo, thì "thông tin bí mật vẫn được mã hóa trong cơ sở dữ liệu của Travis CI".
Tuy nhiên, các nhà nghiên cứu phản hồi qua email với The Register rằng thông tin bí mật vẫn có thể bị truy cập qua khai thác lỗ hổng.
Nhà nghiên cứu giải thích: “Thông tin bí mật được mã hóa khi trong ổ đĩa tại Travis, nhưng khi quá trình build bắt đầu, chúng được giải mã và thêm vào các build dưới dạng [biến môi trường]. Truy cập vào là có thể đọc nội dung".
Thất vọng trước cách Travis CI xử lý vấn đề, nhà nghiên cứu khuyên người dùng nên cân nhắc một nhà cung cấp CI khác thay thế.
Với những ai muốn kiểm tra xem thông tin bí mật của mình có bị lộ hay không, David Brownman, kỹ sư nền tảng cấp cao tại Zapier đã đưa ra một tập lệnh Python để quét kiểm tra các kho lưu trữ công khai cho các khóa môi trường bị lộ.
Do một lỗ hổng trong cách Travis CI xử lý các biến môi trường mà kho lưu trữ công khai được tách từ một kho lưu trữ khác có thể gửi một yêu cầu để thu thập các biến môi trường bí mật đặt trong kho lưu trữ upstream ban đầu.
Đó là một vấn đề an ninh nghiêm trọng, đặc biệt là đối với phần mềm được sử dụng rộng rãi như vậy. Tính đến năm 2019, Travis CI đã được sử dụng trong hơn 932.977 dự án mã nguồn mở và bởi hơn 600.000 người dùng. Tìm kiếm trên GitHub cho tệp cấu hình travis.yml trả về hơn 35 triệu kết quả.
Sau khi các nhà nghiên cứu Ethereum Felix Lange phát hiện vấn đề ngày 7/9 đã báo cáo cho Travis CI. Hãng đã sửa lỗi này vào ngày 10/9.
Theo các nhà nghiên cứu, Travis CI đã gấp gáp khắc phục lỗ hổng và không có lời giải thích thỏa đáng cho khách hàng.
Về lỗ hổng, trong cảnh báo an ninh, Travis CI lưu ý rằng nếu một pull request từ một repo phân nhánh được tạo, thì "thông tin bí mật vẫn được mã hóa trong cơ sở dữ liệu của Travis CI".
Tuy nhiên, các nhà nghiên cứu phản hồi qua email với The Register rằng thông tin bí mật vẫn có thể bị truy cập qua khai thác lỗ hổng.
Nhà nghiên cứu giải thích: “Thông tin bí mật được mã hóa khi trong ổ đĩa tại Travis, nhưng khi quá trình build bắt đầu, chúng được giải mã và thêm vào các build dưới dạng [biến môi trường]. Truy cập vào là có thể đọc nội dung".
Thất vọng trước cách Travis CI xử lý vấn đề, nhà nghiên cứu khuyên người dùng nên cân nhắc một nhà cung cấp CI khác thay thế.
Với những ai muốn kiểm tra xem thông tin bí mật của mình có bị lộ hay không, David Brownman, kỹ sư nền tảng cấp cao tại Zapier đã đưa ra một tập lệnh Python để quét kiểm tra các kho lưu trữ công khai cho các khóa môi trường bị lộ.
Nguồn: The Register