Security: Travis-CI könnte Secrets Tausender Projekte geleakt haben
Eine Sicherheitslücke (CVE-2021-41077) in dem Dienst Travis CI(öffnet im neuen Fenster) hat womöglich die Secrets zahlreicher Open-Source-Projekte offengelegt. Dabei könnte es sich etwa um Signaturschlüssel, Zugangsdaten oder auch API-Tokens handeln. Betroffen sind der Beschreibung zufolge Builds in der CI-Umgebung aus dem Zeitraum vom 3. September bis zum 10. September.
Die starke Integration von Travis CI in Dienste wie Github oder auch Bitbucket macht seine Nutzung so beliebt. Eigentlich sollten Cloud-Systeme wie das CI-Angebot Travis die geheimen Umgebungsvariablen dabei aber vor einem Zugriff durch Dritte schützen. Das ist in diesem Fall aber nicht gelungen, falls ein öffentliches Repository geklont wurde, das auf Travis setzt.
Demnach wurden die Secrets dann schlicht auch in den externen Builds der Forks genutzt und nicht nur in denen des Hauptentwicklungszweigs. Ersteller der Forks hätten so auf die Secrets zugreifen können.
Der nun bekannt gewordene Fehler erinnert an einen Angriff auf das CI-System Codecov , bei dem Angreifer dessen Upload-Skript manipulieren konnten, um wiederum die Zugangsdaten der Kunden zu erlangen. Das Ziel derartiger Angriffe ist dabei nicht direkt der Anbieter selbst, sondern dessen Kunden. Mithilfe der so erlangten eigentlich geheimen Daten könnten Angreifer möglicherweise Hintertüren oder Trojaner in den Code einschleusen.
Kritik an Travis CI
Heftig kritisiert wird Travis CI für den Umgang mit der Lücke sowie für seine eher spärliche Kommunikation dazu. Dem Entwickler Péter Szilágyi zufolge(öffnet im neuen Fenster) hat Travis CI auf das Melden der Lücke zunächst nur mit der Aufforderung reagiert, die Secrets auszutauschen. Die eigentliche Lücke sei jedoch ignoriert worden.
Daraufhin versuchten offenbar die beteiligten Entwickler, externen Druck auf Travis CI aufzubauen, etwa über Github. Letztlich habe der Anbieter die Lücke am 10. September ohne jede weitere Information dazu behoben, erklärte Szilágyi. Eine detaillierte Analyse dazu fehlt bis heute. Eine sehr kurze Zusammenfassung findet sich lediglich im Community-Forum(öffnet im neuen Fenster) von Travis CI.
Ein aktuelles Security-Bulletin(öffnet im neuen Fenster) weist außerdem lediglich darauf hin, die Secrets auszutauschen, ohne jedoch die eigentliche Lücke zu behandeln. Für Szilágyi steht nach dem geschilderten Auftreten von Travis CI fest, dass er nur noch empfehlen könne, den Dienst nicht mehr zu nutzen und zu einer Alternative zu wechseln.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.