URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 125270
[ Назад ]
Исходное сообщение
"Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев"
Отправлено opennews , 17-Сен-21 00:10
В сервисе непрерывной интеграции Travis CI, предназначенном для тестирования и сборки проектов, разрабатываемых на GitHub и Bitbucket, выявлена проблема с безопасностью (CVE-2021-41077), позволяющая узнать содержимое конфиденциальных переменных окружения публичных репозиториев, использующих Travis CI. В том числе уязвимость позволяет узнать используемые в Travis CI ключи для формирования цифровых подписей, ключи доступа и токены для обращения к API...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55812
Содержание
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 00:10 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,кек, 00:41 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Жироватт, 08:52 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Твоя мама, 01:08 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 01:24 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 01:26 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 07:20 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 08:52 , 19-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 00:12 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 00:25 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Жироватт, 09:06 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Sw00p aka Jerom, 10:19 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 12:12 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 18:19 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 18:56 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Sem, 23:47 , 19-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Sw00p aka Jerom, 22:15 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Travis всё, 10:06 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 00:25 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,pashev.me, 01:20 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Жироватт, 09:00 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,КО, 05:33 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,anonunu, 08:07 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 17:45 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 08:25 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Жироватт, 09:04 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,пох., 11:51 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 13:12 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 14:15 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 15:30 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 14:16 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 17:47 , 17-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 10:25 , 18-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 11:16 , 18-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Онаним, 14:32 , 18-Сен-21
- Уязвимость в Travis CI, приводящая к утечке ключей публичных...,0x501D, 11:31 , 21-Сен-21
Сообщения в этом обсуждении
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 00:10
Совсем их не жалко из-за заниженного плана в прошлом году
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено кек , 17-Сен-21 00:41
предлагаю переименовать в Травис Всё!
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Жироватт , 17-Сен-21 08:52
Travis Continiuos Integration?
Travis Final Integration?Хм...Тогда уж
Travis Final Repack by Xar40k
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Твоя мама , 17-Сен-21 01:08
А что было?
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 01:24
Травис вроде опенсорц прожекты отрубил все
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 01:26
Из-за майнеров
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 07:20
Надуманная причина.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 19-Сен-21 08:52
Тем не менее, это была их добрая воля а не обязанность. Тестировать весь интернетый опенсорс наверняка затратно.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 00:12
Бэкдор это фича.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 00:25
BaaS
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Жироватт , 17-Сен-21 09:06
А ведь Столлман об этом предупреждал дай б-г памяти еще в 90х-00х.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Sw00p aka Jerom , 17-Сен-21 10:19
это что еще за переменные окружения? времена cgi вернулись?
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 12:12
пароли, токены и прочая ерунда обычно инжектится в приложение через переменные окружения. типа клауд-нейтив-вей и все дела. так работает примерно во всех современных девляпсовских системах, типа тревиса или ансибль тауэр и прочих докерах.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 18:19
Пароли через переменные окружения инжектят только сумасшедшие.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 18:56
ну что могу сказать, это печально, но тем не менее общепринятая ныне практика и один из принципов так называемой twelve-factor app методологии.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Sem , 19-Сен-21 23:47
Ничего сильно лучше не придумали пока.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Sw00p aka Jerom , 17-Сен-21 22:15
> пароли, токены и прочая ерунда обычно инжектится в приложение через переменные окружения.
> типа клауд-нейтив-вей и все дела. так работает примерно во всех современных
> девляпсовских системах, типа тревиса или ансибль тауэр и прочих докерах.ясно, спасибо
на вопрос, почему конфиг файлы не используют для этого, думаю ответ очевиден, мол забывают в гитигнор добавить и сливают на всякие гитхабы :)
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Travis всё , 17-Сен-21 10:06
на случай если пароль забыл?___
а так.. переписывание на dlang спасёт
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 00:25
Ой ))))
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено pashev.me , 17-Сен-21 01:20
Это давно известно: пулреквест + автоматическая сборка - это дыра.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Жироватт , 17-Сен-21 09:00
Ты забыл мечтательно, с тянучим кокетливым двоеточием добавить "А вот если пуллреквесты дедлались на rust и xrust тулчейн делал автоматическую сборку..."
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено КО , 17-Сен-21 05:33
Почитал я вики, какая то мутная компания с её Idera.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено anonunu , 17-Сен-21 08:07
Я так и не понял из новости о каких конфиденциальных переменных идёт речь? Разве в публичном репозитории не все открыто, чего там для настроек CI скрывать то?
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 17:45
"передавались и непубличные переменные окружения, содержащие ключи и токены, используемые для создания цифровых подписей или доступа ко внешним хранилищам, API и сервисам во время сборки."Секретная часть ключей утекла.
Ими подпишут пробекдоренный и протрояненый софт и все будут думать что это оригинал.
Все цыфровые подписи публичных реп надо менять.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 08:25
щас выяснится что на нем собиралась прошивка МБР Сатана
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Жироватт , 17-Сен-21 09:04
Ой, кому нахрен нужна эта прошивка, если толку от неё - нуль целых, хрен десятых, а 99% логики - "лети быстро, лети высоко, нет бога кроме Ленина и Сталин пророк его, алюминь" - там зашито аппаратно?А вот коммерческие проекты и компрометация опенсорца это дело выгодное: можно и сразу кэша хапнуть, и на перспективу политический ресурс внутри и снаружи проекта (не путать с обычный политикой) поиметь.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено пох. , 17-Сен-21 11:51
щас выясницо что она собиралась в прямом смысле - берешь из одного ящика проволочку, из другого - сердечники, и - собираешь.
Если перепутал и не туда продел проволочку - ракета прилетает тебе в огород вместо супостата.Зато никаких тебе увизгвимостей. А современные флэшки не любят лежать поблизости от фонящего ядерного боеприпаса.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 13:12
Ну вот честно. Программирую с 2006-го года. Смотрю всё на эти молодежные хайпы и не понимаю, ну вот зачем? Зато с каким удовольствием и яхидством читаю нововости про обсирон всех этих докеров/куберов/js/rust итд итп.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 14:15
За что сидишь?^W^W^W На чем пишешь? Как собираешь? Как деплоишь?
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 15:30
Сижу за $$$$, пишу для барыжных фирмочек под Windows. Delphi, C/C++, MySQL, Sqlite3. Деплой через автоматическое обновление при запуске программы, как это делают многие (Filezilla, Notepad++ etc).
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 14:16
Зато у тревиса есть иконка с чернокожим...
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 17-Сен-21 17:47
А зачем какому-то сервису Travis CI передавать секретные ключи и токены доступа к темам и хранилищам?
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 18-Сен-21 10:25
Да ну, не может быть! Ключи ведь намного безопаснее паролей!
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Аноним , 18-Сен-21 11:16
Сделаешь с помощью пароля без ключа цифровую подпись пакета?
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено Онаним , 18-Сен-21 14:32
Continuous backdoor integration как он есть.
Больше ада.
"Уязвимость в Travis CI, приводящая к утечке ключей публичных..."
Отправлено 0x501D , 21-Сен-21 11:31
Вот поэтому мы подняли свой CI на дроне вместо этого безобразия