The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев"  +/
Сообщение от opennews (??), 17-Сен-21, 00:10 
В сервисе непрерывной интеграции Travis CI, предназначенном для тестирования и сборки проектов, разрабатываемых на GitHub и Bitbucket, выявлена проблема с безопасностью (CVE-2021-41077), позволяющая узнать содержимое конфиденциальных переменных окружения публичных репозиториев, использующих Travis CI. В том числе уязвимость позволяет узнать используемые в Travis CI ключи для формирования цифровых подписей, ключи доступа и токены для обращения к API...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55812

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +3 +/
Сообщение от Аноним (1), 17-Сен-21, 00:10 
Совсем их не жалко из-за заниженного плана в прошлом году
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +1 +/
Сообщение от кек (?), 17-Сен-21, 00:41 
предлагаю переименовать в Травис Всё!
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Жироватт (ok), 17-Сен-21, 08:52 
Travis Continiuos Integration?
Travis Final Integration?

Хм...Тогда уж  

Travis Final Repack by Xar40k

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Твоя мама (?), 17-Сен-21, 01:08 
А что было?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

8. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +2 +/
Сообщение от Аноним (8), 17-Сен-21, 01:24 
Травис вроде опенсорц прожекты отрубил все
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +2 +/
Сообщение от Аноним (9), 17-Сен-21, 01:26 
Из-за майнеров
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +2 +/
Сообщение от Аноним (-), 17-Сен-21, 07:20 
Надуманная причина.
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Аноним (37), 19-Сен-21, 08:52 
Тем не менее, это была их добрая воля а не обязанность. Тестировать весь интернетый опенсорс наверняка затратно.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +1 +/
Сообщение от Аноним (2), 17-Сен-21, 00:12 
Бэкдор это фича.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +7 +/
Сообщение от Аноним (4), 17-Сен-21, 00:25 
BaaS
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +1 +/
Сообщение от Жироватт (ok), 17-Сен-21, 09:06 
А ведь Столлман об этом предупреждал дай б-г памяти еще в 90х-00х.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

22. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  –2 +/
Сообщение от Sw00p aka Jerom (?), 17-Сен-21, 10:19 
это что еще за переменные окружения? времена cgi вернулись?
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Аноним (24), 17-Сен-21, 12:12 
пароли, токены и прочая ерунда обычно инжектится в приложение через переменные окружения. типа клауд-нейтив-вей и все дела. так работает примерно во всех современных девляпсовских системах, типа тревиса или ансибль тауэр и прочих докерах.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +1 +/
Сообщение от Аноним (31), 17-Сен-21, 18:19 
Пароли через переменные окружения инжектят только сумасшедшие.
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Аноним (24), 17-Сен-21, 18:56 
ну что могу сказать, это печально, но тем не менее общепринятая ныне практика и один из принципов так называемой twelve-factor app методологии.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Sem (??), 19-Сен-21, 23:47 
Ничего сильно лучше не придумали пока.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

33. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Sw00p aka Jerom (?), 17-Сен-21, 22:15 
> пароли, токены и прочая ерунда обычно инжектится в приложение через переменные окружения.
> типа клауд-нейтив-вей и все дела. так работает примерно во всех современных
> девляпсовских системах, типа тревиса или ансибль тауэр и прочих докерах.

ясно, спасибо

на вопрос, почему конфиг файлы не используют для этого, думаю ответ очевиден, мол забывают в гитигнор добавить и сливают на всякие гитхабы :)

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

21. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  –1 +/
Сообщение от Travis всё (?), 17-Сен-21, 10:06 
на случай если пароль забыл?

___
а так.. переписывание на dlang спасёт

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  –1 +/
Сообщение от Аноним (4), 17-Сен-21, 00:25 
Ой ))))
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  –1 +/
Сообщение от pashev.me (?), 17-Сен-21, 01:20 
Это давно известно: пулреквест + автоматическая сборка - это дыра.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  –3 +/
Сообщение от Жироватт (ok), 17-Сен-21, 09:00 
Ты забыл мечтательно, с тянучим кокетливым двоеточием добавить "А вот если пуллреквесты дедлались на rust и xrust тулчейн делал автоматическую сборку..."
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  –1 +/
Сообщение от КО (?), 17-Сен-21, 05:33 
Почитал я вики, какая то мутная компания с её Idera.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от anonunu (?), 17-Сен-21, 08:07 
Я так и не понял из новости о каких конфиденциальных переменных идёт речь? Разве в публичном репозитории не все открыто, чего там для настроек CI скрывать то?
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Аноним (29), 17-Сен-21, 17:45 
"передавались и непубличные переменные окружения, содержащие ключи и токены, используемые для создания цифровых подписей или доступа ко внешним хранилищам, API и сервисам во время сборки."

Секретная часть ключей утекла.

Ими подпишут пробекдоренный и протрояненый софт и все будут думать что это оригинал.

Все цыфровые подписи публичных реп надо менять.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Аноним (-), 17-Сен-21, 08:25 
щас выяснится что на нем собиралась прошивка МБР Сатана
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +4 +/
Сообщение от Жироватт (ok), 17-Сен-21, 09:04 
Ой, кому нахрен нужна эта прошивка, если толку от неё - нуль целых, хрен десятых, а 99% логики - "лети быстро, лети высоко, нет бога кроме Ленина и Сталин пророк его, алюминь" - там зашито аппаратно?

А вот коммерческие проекты и компрометация опенсорца это дело выгодное: можно и сразу кэша хапнуть, и на перспективу политический ресурс внутри и снаружи проекта (не путать с обычный политикой) поиметь.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +1 +/
Сообщение от пох. (?), 17-Сен-21, 11:51 
щас выясницо что она собиралась в прямом смысле - берешь из одного ящика проволочку, из другого - сердечники, и - собираешь.
Если перепутал и не туда продел проволочку - ракета прилетает тебе в огород вместо супостата.

Зато никаких тебе увизгвимостей. А современные флэшки не любят лежать поблизости от фонящего ядерного боеприпаса.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

25. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +7 +/
Сообщение от Аноним (25), 17-Сен-21, 13:12 
Ну вот честно. Программирую с 2006-го года. Смотрю всё на эти молодежные хайпы и не понимаю, ну вот зачем? Зато с каким удовольствием и яхидством читаю нововости про обсирон всех этих докеров/куберов/js/rust итд итп.
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +1 +/
Сообщение от Аноним (26), 17-Сен-21, 14:15 
За что сидишь?^W^W^W На чем пишешь? Как собираешь? Как деплоишь?
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +2 +/
Сообщение от Аноним (25), 17-Сен-21, 15:30 
Сижу за $$$$, пишу для барыжных фирмочек под Windows. Delphi, C/C++, MySQL, Sqlite3. Деплой через автоматическое обновление при запуске программы, как это делают многие (Filezilla, Notepad++ etc).
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +1 +/
Сообщение от Аноним (26), 17-Сен-21, 14:16 
Зато у тревиса есть иконка с чернокожим...
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Аноним (29), 17-Сен-21, 17:47 
А зачем какому-то сервису Travis CI передавать секретные ключи и токены доступа к темам и хранилищам?
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Аноним (34), 18-Сен-21, 10:25 
Да ну, не может быть! Ключи ведь намного безопаснее паролей!
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Аноним (24), 18-Сен-21, 11:16 
Сделаешь с помощью пароля без ключа цифровую подпись пакета?
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от Онаним (?), 18-Сен-21, 14:32 
Continuous backdoor integration как он есть.
Больше ада.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в Travis CI, приводящая к утечке ключей публичных..."  +/
Сообщение от 0x501D (?), 21-Сен-21, 11:31 
Вот поэтому мы подняли свой CI на дроне вместо этого безобразия
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру