• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Vulnerabilidad en Travis CI expone credenciales secretas

Vulnerabilidad en Travis CI expone credenciales secretas

14 septiembre, 2021 Por Javier Aranda Dejar un comentario

La plataforma Travis CI ha parcheado una vulnerabilidad que exponía claves API y tokens de acceso, poniendo en riesgo a cientos de organizaciones.

Travis CI es una plataforma de CI/CD (Integración Continua/Despliegue Continuo). Se utiliza para compilar y hacer «testing de software» a proyectos de alojados en repositorios como GitHub o Bitbucket; y cuenta con más de 600.000 usuarios y 900.000 proyectos de código abierto.

La vulnerabilidad, que cuenta con el identificador CVE-2021-41077, se detectó gracias a Felix Lange de Ethereum. Este problema se habría dado entre el 3 y el 10 de septiembre. La descripción del fallo es la siguiente:

El comportamiento esperado, si .travis.yml se ha creado localmente por un cliente y después se ha añadido a git, es que el servicio Travis ejecute la compilación de manera que se restrinja el acceso público a las credenciales específicas de los clientes como claves de firma, credenciales de acceso y tokens de API. Sin embargo; durante este intervalo de 8 días, un usuario no autorizado podía acceder a la información tras hacer un fork de un repositorio imprimiendo el contenido de dichos ficheros en el proceso de compilación.

Lange y otros empleados de Ethereum como Peter Szilágyi criticaron la forma de gestionar esta vulnerabilidad por parte de Travis CI. Desde la plataforma no han publicado ningún análisis, informe de seguridad o han advertido a sus usuarios de que sus credenciales podrían haber sido filtradas.

Este incidente recuerda al que sufrió hace unos meses la plataforma Codecov, poniendo de manifiesto una vez más la importancia de cuidar la seguridad en todos los procesos implicados en el desarrollo de software. Desde Hispasec Sistemas recomendamos actualizar todas las credenciales que hayan podido estar expuestas en la plataforma Travis CI para prevenir accesos no autorizados.

Más información:
Travis CI flaw exposed secrets of thousands of open source projects

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking con Metasploit

Machine Learning aplicado a Ciberseguridad

Hacking con buscadores

Archivado en: General, Vulnerabilidades Etiquetado con: bitbucket, github, travis ci, vulnerabilidad

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware "Jester"
  • EEUU OFRECE RECOMPENSAS POR INFORMACIÒN SOBRE LOS COMPLICES DE RANSOMWARE CONTI
  • La guerra Rusia-Ucrania, excusa para justificar ciberataques por grupos criminales

Entradas recientes

  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware «Jester»
  • EEUU OFRECE RECOMPENSAS POR INFORMACIÒN SOBRE LOS COMPLICES DE RANSOMWARE CONTI
  • La guerra Rusia-Ucrania, excusa para justificar ciberataques por grupos criminales
  • El Discord oficial de Opensea (mercado de NFT) es hackeado
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware «Jester»
  • EEUU OFRECE RECOMPENSAS POR INFORMACIÒN SOBRE LOS COMPLICES DE RANSOMWARE CONTI

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...