持续集成平台 Travis CI 在 2021/9/3 至 2021/9/10 这八天的 CI 运行可能暴露了私密环境变量到 PR 中。攻击者可以通过 fork 公开 repo 的方式获得其本不应获取的环境变量信息。
此问题不会影响私有 repo 及未被 fork 的公开 repo。
Ethernum 开发者 Péter Szilágyi 称 [1],Travis CI 对此漏洞的处理极其不负责任,并因此建议开发者立即停止使用 Travis CI。
CVE: CVE-2021-41077
src: https://nvd.nist.gov/vuln/detail/CVE-2021-41077
src: https://travis-ci.community/t/security-bulletin/12081
1. https://twitter.com/peter_szilagyi/status/1437646118700175360
消息来源: https://t.me/outvivid/3014
此问题不会影响私有 repo 及未被 fork 的公开 repo。
Ethernum 开发者 Péter Szilágyi 称 [1],Travis CI 对此漏洞的处理极其不负责任,并因此建议开发者立即停止使用 Travis CI。
CVE: CVE-2021-41077
src: https://nvd.nist.gov/vuln/detail/CVE-2021-41077
src: https://travis-ci.community/t/security-bulletin/12081
1. https://twitter.com/peter_szilagyi/status/1437646118700175360
消息来源: https://t.me/outvivid/3014
