Security: Travis-CI könnte Secrets Tausender Projekte geleakt haben

Durch einen Fehler von Travis CI konnten Secrets von Open-Source-Projekten eingesehen werden. Die Finder der Lücke kritisieren den Anbieter massiv.

Artikel veröffentlicht am ,
Die Cloud sind auch nur Rechner von anderen.
Die Cloud sind auch nur Rechner von anderen. (Bild: Quinn Dombrowski, flickr.com/CC-BY-SA 2.0)

Eine Sicherheitslücke (CVE-2021-41077) in dem Dienst Travis CI hat womöglich die Secrets zahlreicher Open-Source-Projekte offengelegt. Dabei könnte es sich etwa um Signaturschlüssel, Zugangsdaten oder auch API-Tokens handeln. Betroffen sind der Beschreibung zufolge Builds in der CI-Umgebung aus dem Zeitraum vom 3. September bis zum 10. September.

Stellenmarkt
  1. SAP HCM Senior Berater (m/w/x)
    über duerenhoff GmbH, Haßfurt
  2. Security Manager Analyse und Konzeption (w/m/d)
    EnBW Energie Baden-Württemberg AG, Karlsruhe
Detailsuche

Die starke Integration von Travis CI in Dienste wie Github oder auch Bitbucket macht seine Nutzung so beliebt. Eigentlich sollten Cloud-Systeme wie das CI-Angebot Travis die geheimen Umgebungsvariablen dabei aber vor einem Zugriff durch Dritte schützen. Das ist in diesem Fall aber nicht gelungen, falls ein öffentliches Repository geklont wurde, das auf Travis setzt.

Demnach wurden die Secrets dann schlicht auch in den externen Builds der Forks genutzt und nicht nur in denen des Hauptentwicklungszweigs. Ersteller der Forks hätten so auf die Secrets zugreifen können.

Der nun bekannt gewordene Fehler erinnert an einen Angriff auf das CI-System Codecov, bei dem Angreifer dessen Upload-Skript manipulieren konnten, um wiederum die Zugangsdaten der Kunden zu erlangen. Das Ziel derartiger Angriffe ist dabei nicht direkt der Anbieter selbst, sondern dessen Kunden. Mithilfe der so erlangten eigentlich geheimen Daten könnten Angreifer möglicherweise Hintertüren oder Trojaner in den Code einschleusen.

Kritik an Travis CI

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Heftig kritisiert wird Travis CI für den Umgang mit der Lücke sowie für seine eher spärliche Kommunikation dazu. Dem Entwickler Péter Szilágyi zufolge hat Travis CI auf das Melden der Lücke zunächst nur mit der Aufforderung reagiert, die Secrets auszutauschen. Die eigentliche Lücke sei jedoch ignoriert worden.

Daraufhin versuchten offenbar die beteiligten Entwickler, externen Druck auf Travis CI aufzubauen, etwa über Github. Letztlich habe der Anbieter die Lücke am 10. September ohne jede weitere Information dazu behoben, erklärte Szilágyi. Eine detaillierte Analyse dazu fehlt bis heute. Eine sehr kurze Zusammenfassung findet sich lediglich im Community-Forum von Travis CI.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ein aktuelles Security-Bulletin weist außerdem lediglich darauf hin, die Secrets auszutauschen, ohne jedoch die eigentliche Lücke zu behandeln. Für Szilágyi steht nach dem geschilderten Auftreten von Travis CI fest, dass er nur noch empfehlen könne, den Dienst nicht mehr zu nutzen und zu einer Alternative zu wechseln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Venturi-Tunnel
Elektro-Motorrad mit Riesenloch auf der Teststrecke

White Motorcycle Concepts testet sein Elektromotorrad WMC250EV, bei dem der Fahrer auf einem riesigen Tunnel sitzt. Später soll es 400 km/h erreichen.

Venturi-Tunnel: Elektro-Motorrad mit Riesenloch auf der Teststrecke
Artikel
  1. Elektroauto: Cadillac Lyriq nach 19 Minuten weg
    Elektroauto
    Cadillac Lyriq nach 19 Minuten weg

    Einen der ersten Cadillac Lyriq zu reservieren, glich mehr einer Lotterie als einem Autokauf. In wenigen Minuten waren alle Luxus-Elektroautos vergriffen.

  2. Autos, Scooter und Fahrräder: Berlin reguliert Sharing-Mobilitätsangebote
    Autos, Scooter und Fahrräder
    Berlin reguliert Sharing-Mobilitätsangebote

    Die Nutzung des öffentlichen Raums durch Autos, Scooter und Fahrräder von Sharing-Unternehmen wird in Berlin reguliert.

  3. Abonnenten verunsichert: Apple hat Hörbücher aus Apple Music entfernt
    Abonnenten verunsichert
    Apple hat Hörbücher aus Apple Music entfernt

    Wer mit einem Musikstreamingabo Hörbücher hören will, muss von Apple Music zu Deezer, Spotify oder einem anderen Anbieter wechseln.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: MM-Club-Tage (u. a. SanDisk Ultra 3D 2 TB 142,15€) • Corsair Vengeance RGB PRO 16-GB-Kit DDR4-3200 71,39€ • Corsair RM750x 750 W 105,89€ • WD Elements Desktop 12 TB 211,65€ • Alternate (u. a. Creative SB Z SE 71,98€) • ASUS ROG Crosshair VIII Hero WiFi 269,99€ [Werbung]
    •  /