The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев"  +/
Сообщение от opennews (??), 17-Сен-21, 00:10 
В сервисе непрерывной интеграции Travis CI, предназначенном для тестирования и сборки проектов, разрабатываемых на GitHub и Bitbucket, выявлена проблема с безопасностью (CVE-2021-41077), позволяющая узнать содержимое конфиденциальных переменных окружения публичных репозиториев, использующих Travis CI. В том числе уязвимость позволяет узнать используемые в Travis CI ключи для формирования цифровых подписей, ключи доступа и токены для обращения к API...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55812

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 17-Сен-21, 00:10   +3 +/
Совсем их не жалко из-за заниженного плана в прошлом году
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6

2. Сообщение от Аноним (2), 17-Сен-21, 00:12   +1 +/
Бэкдор это фича.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #20, #21

3. Сообщение от Аноним (4), 17-Сен-21, 00:25   –1 +/
Ой ))))
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 17-Сен-21, 00:25   +7 +/
BaaS
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от кек (?), 17-Сен-21, 00:41   +1 +/
предлагаю переименовать в Травис Всё!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #16

6. Сообщение от Твоя мама (?), 17-Сен-21, 01:08   +/
А что было?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8

7. Сообщение от pashev.me (?), 17-Сен-21, 01:20   –1 +/
Это давно известно: пулреквест + автоматическая сборка - это дыра.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

8. Сообщение от Аноним (8), 17-Сен-21, 01:24   +2 +/
Травис вроде опенсорц прожекты отрубил все
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #9

9. Сообщение от Аноним (9), 17-Сен-21, 01:26   +2 +/
Из-за майнеров
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11

10. Сообщение от КО (?), 17-Сен-21, 05:33   –1 +/
Почитал я вики, какая то мутная компания с её Idera.
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (-), 17-Сен-21, 07:20   +2 +/
Надуманная причина.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #37

12. Сообщение от anonunu (?), 17-Сен-21, 08:07   +/
Я так и не понял из новости о каких конфиденциальных переменных идёт речь? Разве в публичном репозитории не все открыто, чего там для настроек CI скрывать то?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

14. Сообщение от Аноним (-), 17-Сен-21, 08:25   +/
щас выяснится что на нем собиралась прошивка МБР Сатана
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #23

16. Сообщение от Жироватт (ok), 17-Сен-21, 08:52   +/
Travis Continiuos Integration?
Travis Final Integration?

Хм...Тогда уж  

Travis Final Repack by Xar40k

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

18. Сообщение от Жироватт (ok), 17-Сен-21, 09:00   –3 +/
Ты забыл мечтательно, с тянучим кокетливым двоеточием добавить "А вот если пуллреквесты дедлались на rust и xrust тулчейн делал автоматическую сборку..."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

19. Сообщение от Жироватт (ok), 17-Сен-21, 09:04   +4 +/
Ой, кому нахрен нужна эта прошивка, если толку от неё - нуль целых, хрен десятых, а 99% логики - "лети быстро, лети высоко, нет бога кроме Ленина и Сталин пророк его, алюминь" - там зашито аппаратно?

А вот коммерческие проекты и компрометация опенсорца это дело выгодное: можно и сразу кэша хапнуть, и на перспективу политический ресурс внутри и снаружи проекта (не путать с обычный политикой) поиметь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

20. Сообщение от Жироватт (ok), 17-Сен-21, 09:06   +1 +/
А ведь Столлман об этом предупреждал дай б-г памяти еще в 90х-00х.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #22

21. Сообщение от Travis всё (?), 17-Сен-21, 10:06   –1 +/
на случай если пароль забыл?

___
а так.. переписывание на dlang спасёт

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

22. Сообщение от Sw00p aka Jerom (?), 17-Сен-21, 10:19   –2 +/
это что еще за переменные окружения? времена cgi вернулись?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #24

23. Сообщение от пох. (?), 17-Сен-21, 11:51   +1 +/
щас выясницо что она собиралась в прямом смысле - берешь из одного ящика проволочку, из другого - сердечники, и - собираешь.
Если перепутал и не туда продел проволочку - ракета прилетает тебе в огород вместо супостата.

Зато никаких тебе увизгвимостей. А современные флэшки не любят лежать поблизости от фонящего ядерного боеприпаса.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

24. Сообщение от Аноним (24), 17-Сен-21, 12:12   +/
пароли, токены и прочая ерунда обычно инжектится в приложение через переменные окружения. типа клауд-нейтив-вей и все дела. так работает примерно во всех современных девляпсовских системах, типа тревиса или ансибль тауэр и прочих докерах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #31, #33

25. Сообщение от Аноним (25), 17-Сен-21, 13:12   +7 +/
Ну вот честно. Программирую с 2006-го года. Смотрю всё на эти молодежные хайпы и не понимаю, ну вот зачем? Зато с каким удовольствием и яхидством читаю нововости про обсирон всех этих докеров/куберов/js/rust итд итп.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

26. Сообщение от Аноним (26), 17-Сен-21, 14:15   +1 +/
За что сидишь?^W^W^W На чем пишешь? Как собираешь? Как деплоишь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #28

27. Сообщение от Аноним (26), 17-Сен-21, 14:16   +1 +/
Зато у тревиса есть иконка с чернокожим...
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от Аноним (25), 17-Сен-21, 15:30   +2 +/
Сижу за $$$$, пишу для барыжных фирмочек под Windows. Delphi, C/C++, MySQL, Sqlite3. Деплой через автоматическое обновление при запуске программы, как это делают многие (Filezilla, Notepad++ etc).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

29. Сообщение от Аноним (29), 17-Сен-21, 17:45   +/
"передавались и непубличные переменные окружения, содержащие ключи и токены, используемые для создания цифровых подписей или доступа ко внешним хранилищам, API и сервисам во время сборки."

Секретная часть ключей утекла.

Ими подпишут пробекдоренный и протрояненый софт и все будут думать что это оригинал.

Все цыфровые подписи публичных реп надо менять.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

30. Сообщение от Аноним (29), 17-Сен-21, 17:47   +/
А зачем какому-то сервису Travis CI передавать секретные ключи и токены доступа к темам и хранилищам?
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от Аноним (31), 17-Сен-21, 18:19   +1 +/
Пароли через переменные окружения инжектят только сумасшедшие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #32, #38

32. Сообщение от Аноним (24), 17-Сен-21, 18:56   +/
ну что могу сказать, это печально, но тем не менее общепринятая ныне практика и один из принципов так называемой twelve-factor app методологии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

33. Сообщение от Sw00p aka Jerom (?), 17-Сен-21, 22:15   +/
> пароли, токены и прочая ерунда обычно инжектится в приложение через переменные окружения.
> типа клауд-нейтив-вей и все дела. так работает примерно во всех современных
> девляпсовских системах, типа тревиса или ансибль тауэр и прочих докерах.

ясно, спасибо

на вопрос, почему конфиг файлы не используют для этого, думаю ответ очевиден, мол забывают в гитигнор добавить и сливают на всякие гитхабы :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

34. Сообщение от Аноним (34), 18-Сен-21, 10:25   +/
Да ну, не может быть! Ключи ведь намного безопаснее паролей!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

35. Сообщение от Аноним (24), 18-Сен-21, 11:16   +/
Сделаешь с помощью пароля без ключа цифровую подпись пакета?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

36. Сообщение от Онаним (?), 18-Сен-21, 14:32   +/
Continuous backdoor integration как он есть.
Больше ада.
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от Аноним (37), 19-Сен-21, 08:52   +/
Тем не менее, это была их добрая воля а не обязанность. Тестировать весь интернетый опенсорс наверняка затратно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

38. Сообщение от Sem (??), 19-Сен-21, 23:47   +/
Ничего сильно лучше не придумали пока.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

39. Сообщение от 0x501D (?), 21-Сен-21, 11:31   +/
Вот поэтому мы подняли свой CI на дроне вместо этого безобразия
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру