持续集成商Travis CI爆严重漏洞，数千开源项目机密或被盗

持续集成供应商 Travis CI 修复了一个严重漏洞，可暴露 API 密钥、访问令牌和凭据，可导致使用公开源代码仓库的组织机构面临攻击风险。

该漏洞的编号为 CVE-2021-41077，和越权访问权限以及软件构建过程中公开开源项目相关的秘密环境数据有关。据称该问题从9月3日到9月10日一直存在，持续了8天的时间窗口。

以太坊的研究员 Felix Lange 在9月7日发现该泄露情况。该公司的研究员Péter Szilágyi 指出，“任何人均可提取这些数据并在数千个组织机构中横向移动。”

Travis CI 提供托管式CI/CD解决方案，用于构建和测试托管在源代码仓库系统如 GitHub 和 Bitbucket 上的软件项目。

漏洞说明指出，“这种行为（由客户本地创建 .travis.yml 并添加到 git）供 Travis 服务器执行构建，阻止公开访问针对客户的秘密环境数据如签名密钥、访问凭据和 API 令牌。然而，在这8太难的时间里，越权行动者可暴露机密数据，使其在构建过程中分叉公开仓库并打印文件。”换句话说，从另外仓库分叉的公开仓库可提交 pull 请求，从而获得在原始上游仓库中设置的秘密环境变量。Travis CI 公司在文档中指出，“由于将此类信息暴露给未知代码可带来安全风险，因此加密的环境变量无法从分叉pull请求。“

文档中还证实了源自外部请求的泄露风险，“从上游仓库分叉发送的 pull 请求可被操控，暴露环境变量。上游仓库的维护人员无法防御这种攻击，因为任何人只要分叉了 GitHub 上的仓库，即可发送 pull 请求。“

被指对漏洞的严重性评估失实

Szilágyi 还称，Travis CI 降低了对该事件的重要性评估，未能承认问题的“严重性“，他督促 GitHub 因这种糟糕的安全态势和漏洞披露流程而封禁该公司，“迫于多个项目三天的压力，Travis CI 在9月10日悄悄修复了该漏洞。该公司没有提供任何分析、安全报告、事后说明，也没有提醒任何用户秘密可能已被盗。”

Travis CI 公司在9月14日发布简短的“安全通告”，建议用户经常更换密钥，并在社区论坛再次发布通知称，未发现该漏洞遭恶意方利用的证据。

Szilágyi 还表示，“鉴于Travis CI 公司极其不负责任的处理方式，且后续拒绝提醒用户可能存在的秘密泄露情况，我们只能建议所有人立即并无限期离开 Travis。”