В публичных логах Travis CI выявлено около 73 тысяч токенов и паролей открытых проектов
Автор
Сообщение
news_bot ®
Стаж: 7 лет 2 месяца
Сообщений: 27286
Компания Aqua Security опубликовала результаты исследования наличия конфиденциальных данных в сборочных логах, публично доступных в системе непрерывной интеграции
Travis CI. Исследователи нашли способ извлечения 770 млн логов различных проектов. При тестовой загрузке 8 млн логов в полученных данных было выявлено около 73 тысяч токенов, учётных данных и ключей доступа, связанных с различными популярными сервисами, включая GitHub, AWS и Docker Hub. Выявленная информация позволяет скомпрометировать инфраструктуру многих открытых проектов, например, похожая утечка недавно привела к взлому инфраструктуры проекта NPM.
Утечка связана с возможностью получения доступа к логам пользователей бесплатного сервиса Travis CI через штатный API (например, сборочный лог можно загрузить через URL вида "https://api.travis-ci.org/v3/job/5248126/log.txt", где число 5248126 - идентификатор лога). Для определения диапазона возможных идентификаторов логов был использован ещё один API ("https://api.travis-ci.org/logs/6976822"), обеспечивающий перенаправление на загрузку лога по порядковому номеру. Методом перебора в ходе исследования удалось без аутентификации определить около 770 млн логов, созданных с 2013 по май 2022 года в ходе сборки проектов, подпадающих под бесплатный тарифный план.
Анализ тестовой выборки показал, что во многих случаях в логе в открытом виде отражаются параметры доступа к репозиториям, API и хранилищам, достаточные для обращения к приватным репозиториям, внесения изменений в код или подключения к облачным окружениям, используемым в инфраструктуре. Например, в логах были найдены токены для подключения к репозиториям в GitHub, пароли для размещения сборок в Docker Hub, ключи для доступа к окружениям Amazon Web Services (AWS), параметры подключения к СУБД MySQL и PostgreSQL.
Примечательно, что похожие утечки через API фиксировались исследователями в 2015 и 2019 годах. После прошлых инцидентов компания Travis добавила определённые ограничения для затруднения массовой загрузки данных и урезала доступ к API, но данные ограничения удалось обойти. Кроме того, компанией Travis была предпринята попытка чистки конфиденциальных данных в логах, но данные были очищены лишь частично.
Утечка главным образом затронула пользователей открытых проектов, которым Travis предоставляет бесплатный доступ к своему сервису непрерывной интеграции. В ходе проверки, проведённой некоторыми сервис-провайдерами, было подтверждено, что около половины из выделенных из логов токенов и ключей остаются рабочими. Всем пользователям бесплатного варианта сервиса Travis CI рекомендуется срочно поменять ключи доступа, а также настроить удаление сборочных логов и проверить отсутствие вывода в лог конфиденциальных данных.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.aquasec.com/travi...)
- OpenNews: GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
- OpenNews: Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM
- OpenNews: Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев
- OpenNews: Инцидент в сервисе непрерывной интеграции Travis CI
- OpenNews: Внедрение вредоносного кода в скрипт Codecov привело к компрометации PGP-ключа HashiCorp
Похожие новости:
- Выпуск десктоп-окружения Cinnamon 5.4
- Развиваемый проектом SerenityOS web-браузер успешно прошёл тесты Acid3
- Intel, AMD и ARM представили UCIe, открытый стандарт для чиплетов
- Выпуск игры Freeciv 3.0
- Выпуск SciPy 1.8.0, библиотеки для научных и инженерных расчётов
- Выпуск десктоп-окружения Cinnamon 5.2
- Уязвимость в коммутаторах Cisco Catalyst PON, позволяющая войти через telnet без знания пароля
- Выпуск звукового редактора Audacity 3.1
- Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев
- [PHP, Программирование] Что нового в PHP 8.1 (перевод)
Теги для поиска: #_travis, #_ci
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 05-Май 18:18
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 7 лет 2 месяца |
|
|
Компания Aqua Security опубликовала результаты исследования наличия конфиденциальных данных в сборочных логах, публично доступных в системе непрерывной интеграции Travis CI. Исследователи нашли способ извлечения 770 млн логов различных проектов. При тестовой загрузке 8 млн логов в полученных данных было выявлено около 73 тысяч токенов, учётных данных и ключей доступа, связанных с различными популярными сервисами, включая GitHub, AWS и Docker Hub. Выявленная информация позволяет скомпрометировать инфраструктуру многих открытых проектов, например, похожая утечка недавно привела к взлому инфраструктуры проекта NPM. Утечка связана с возможностью получения доступа к логам пользователей бесплатного сервиса Travis CI через штатный API (например, сборочный лог можно загрузить через URL вида "https://api.travis-ci.org/v3/job/5248126/log.txt", где число 5248126 - идентификатор лога). Для определения диапазона возможных идентификаторов логов был использован ещё один API ("https://api.travis-ci.org/logs/6976822"), обеспечивающий перенаправление на загрузку лога по порядковому номеру. Методом перебора в ходе исследования удалось без аутентификации определить около 770 млн логов, созданных с 2013 по май 2022 года в ходе сборки проектов, подпадающих под бесплатный тарифный план. Анализ тестовой выборки показал, что во многих случаях в логе в открытом виде отражаются параметры доступа к репозиториям, API и хранилищам, достаточные для обращения к приватным репозиториям, внесения изменений в код или подключения к облачным окружениям, используемым в инфраструктуре. Например, в логах были найдены токены для подключения к репозиториям в GitHub, пароли для размещения сборок в Docker Hub, ключи для доступа к окружениям Amazon Web Services (AWS), параметры подключения к СУБД MySQL и PostgreSQL. Примечательно, что похожие утечки через API фиксировались исследователями в 2015 и 2019 годах. После прошлых инцидентов компания Travis добавила определённые ограничения для затруднения массовой загрузки данных и урезала доступ к API, но данные ограничения удалось обойти. Кроме того, компанией Travis была предпринята попытка чистки конфиденциальных данных в логах, но данные были очищены лишь частично. Утечка главным образом затронула пользователей открытых проектов, которым Travis предоставляет бесплатный доступ к своему сервису непрерывной интеграции. В ходе проверки, проведённой некоторыми сервис-провайдерами, было подтверждено, что около половины из выделенных из логов токенов и ключей остаются рабочими. Всем пользователям бесплатного варианта сервиса Travis CI рекомендуется срочно поменять ключи доступа, а также настроить удаление сборочных логов и проверить отсутствие вывода в лог конфиденциальных данных. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 05-Май 18:18
Часовой пояс: UTC + 5