В сервисе непрерывной интеграции Travis CI, предназначенном для тестирования и сборки проектов, разрабатываемых на GitHub и Bitbucket, выявлена проблема с безопасностью (CVE-2021-41077), позволяющая узнать содержимое конфиденциальных переменных окружения публичных репозиториев, использующих Travis CI. В том числе уязвимость позволяет узнать используемые в Travis CI ключи для формирования цифровых подписей, ключи доступа и токены для обращения к API...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55812

• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 00:10 , 17-Сен-21
  • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,кек, 00:41 , 17-Сен-21
    • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Жироватт, 08:52 , 17-Сен-21
  • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Твоя мама, 01:08 , 17-Сен-21
    • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 01:24 , 17-Сен-21
      • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 01:26 , 17-Сен-21
        • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 07:20 , 17-Сен-21
          • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 08:52 , 19-Сен-21
• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 00:12 , 17-Сен-21
  • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 00:25 , 17-Сен-21
  • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Жироватт, 09:06 , 17-Сен-21
    • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Sw00p aka Jerom, 10:19 , 17-Сен-21
      • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 12:12 , 17-Сен-21
        • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 18:19 , 17-Сен-21
          • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 18:56 , 17-Сен-21
          • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Sem, 23:47 , 19-Сен-21
        • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Sw00p aka Jerom, 22:15 , 17-Сен-21
  • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Travis всё, 10:06 , 17-Сен-21
• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 00:25 , 17-Сен-21
• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,pashev.me, 01:20 , 17-Сен-21
  • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Жироватт, 09:00 , 17-Сен-21
• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,КО, 05:33 , 17-Сен-21
• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,anonunu, 08:07 , 17-Сен-21
  • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 17:45 , 17-Сен-21
• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 08:25 , 17-Сен-21
  • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Жироватт, 09:04 , 17-Сен-21
  • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,пох., 11:51 , 17-Сен-21
• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 13:12 , 17-Сен-21
  • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 14:15 , 17-Сен-21
    • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 15:30 , 17-Сен-21
• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 14:16 , 17-Сен-21
• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 17:47 , 17-Сен-21
• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 10:25 , 18-Сен-21
  • Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Аноним, 11:16 , 18-Сен-21
• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,Онаним, 14:32 , 18-Сен-21
• Уязвимость в Travis CI, приводящая к утечке ключей публичных...,0x501D, 11:31 , 21-Сен-21

Совсем их не жалко из-за заниженного плана в прошлом году

предлагаю переименовать в Травис Всё!

Travis Continiuos Integration?
Travis Final Integration?

Хм...Тогда уж  

Travis Final Repack by Xar40k

А что было?

Травис вроде опенсорц прожекты отрубил все

Из-за майнеров

Надуманная причина.

Тем не менее, это была их добрая воля а не обязанность. Тестировать весь интернетый опенсорс наверняка затратно.

Бэкдор это фича.

BaaS

А ведь Столлман об этом предупреждал дай б-г памяти еще в 90х-00х.

это что еще за переменные окружения? времена cgi вернулись?

пароли, токены и прочая ерунда обычно инжектится в приложение через переменные окружения. типа клауд-нейтив-вей и все дела. так работает примерно во всех современных девляпсовских системах, типа тревиса или ансибль тауэр и прочих докерах.

Пароли через переменные окружения инжектят только сумасшедшие.

ну что могу сказать, это печально, но тем не менее общепринятая ныне практика и один из принципов так называемой twelve-factor app методологии.

Ничего сильно лучше не придумали пока.

> пароли, токены и прочая ерунда обычно инжектится в приложение через переменные окружения.
> типа клауд-нейтив-вей и все дела. так работает примерно во всех современных
> девляпсовских системах, типа тревиса или ансибль тауэр и прочих докерах.

ясно, спасибо

на вопрос, почему конфиг файлы не используют для этого, думаю ответ очевиден, мол забывают в гитигнор добавить и сливают на всякие гитхабы :)

на случай если пароль забыл?

___
а так.. переписывание на dlang спасёт

Ой ))))

Это давно известно: пулреквест + автоматическая сборка - это дыра.

Ты забыл мечтательно, с тянучим кокетливым двоеточием добавить "А вот если пуллреквесты дедлались на rust и xrust тулчейн делал автоматическую сборку..."

Почитал я вики, какая то мутная компания с её Idera.

Я так и не понял из новости о каких конфиденциальных переменных идёт речь? Разве в публичном репозитории не все открыто, чего там для настроек CI скрывать то?

"передавались и непубличные переменные окружения, содержащие ключи и токены, используемые для создания цифровых подписей или доступа ко внешним хранилищам, API и сервисам во время сборки."

Секретная часть ключей утекла.

Ими подпишут пробекдоренный и протрояненый софт и все будут думать что это оригинал.

Все цыфровые подписи публичных реп надо менять.

щас выяснится что на нем собиралась прошивка МБР Сатана

Ой, кому нахрен нужна эта прошивка, если толку от неё - нуль целых, хрен десятых, а 99% логики - "лети быстро, лети высоко, нет бога кроме Ленина и Сталин пророк его, алюминь" - там зашито аппаратно?

А вот коммерческие проекты и компрометация опенсорца это дело выгодное: можно и сразу кэша хапнуть, и на перспективу политический ресурс внутри и снаружи проекта (не путать с обычный политикой) поиметь.

щас выясницо что она собиралась в прямом смысле - берешь из одного ящика проволочку, из другого - сердечники, и - собираешь.
Если перепутал и не туда продел проволочку - ракета прилетает тебе в огород вместо супостата.

Зато никаких тебе увизгвимостей. А современные флэшки не любят лежать поблизости от фонящего ядерного боеприпаса.

Ну вот честно. Программирую с 2006-го года. Смотрю всё на эти молодежные хайпы и не понимаю, ну вот зачем? Зато с каким удовольствием и яхидством читаю нововости про обсирон всех этих докеров/куберов/js/rust итд итп.

За что сидишь?^W^W^W На чем пишешь? Как собираешь? Как деплоишь?

Сижу за $$$$, пишу для барыжных фирмочек под Windows. Delphi, C/C++, MySQL, Sqlite3. Деплой через автоматическое обновление при запуске программы, как это делают многие (Filezilla, Notepad++ etc).

Зато у тревиса есть иконка с чернокожим...

А зачем какому-то сервису Travis CI передавать секретные ключи и токены доступа к темам и хранилищам?

Да ну, не может быть! Ключи ведь намного безопаснее паролей!

Сделаешь с помощью пароля без ключа цифровую подпись пакета?

Continuous backdoor integration как он есть.
Больше ада.

Вот поэтому мы подняли свой CI на дроне вместо этого безобразия