Travis CI API 漏洞未修复,可暴露用户机密访问令牌引发供应链攻击

最新推荐文章于 2024-11-04 22:26:34 发布
最新推荐文章于 2024-11-04 22:26:34 发布
阅读量175 收藏
点赞数
文章标签: java 安全 微软 git 安全漏洞
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247512333&idx=2&sn=941187896fb7a8b1aa8894038839d4db&chksm=ea948067dde309712677a3c1025833ce2d2b6124a230df150c3d899e8252a0d9214dbea3d276&scene=126&&sessionid=0
版权

d3ead6cb0f151119af692741d87aec61.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

953ed98345914fbcefb0273e3e8f22fb.png

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

ad308ee1c495a6b144d79385139d4ddc.png

a9c23ea4f4abc442c0c5e7c66eaa821c.png

开源持续集成构建项目 Travis CI 的API 中存在一个未修复漏洞,可导致数万名开发人员的用户令牌遭攻击,从而导致威胁行动者攻陷云基础设施,进行越权代码修改并触发供应链攻击。

Travis CI 是一款持续集成服务,可用于构建并测试托管于云仓库平台如 GitHub 和 Bitbucket 上的软件项目。

云安全公司 Aqua 在本周一发布报告指出,“可从超过7.7亿份免费用户的日志中轻松提取令牌、机密和其它和流行云服务提供商 GitHub、AWS和 Docker Hub 相关联的其它凭据。”

该问题最初在2015年和2019年报告,根因在于该 API 允许以明文形式访问历史日志,使恶意人员甚至“提取此前无法通过API获得的日志。”

这些日志可追溯至2013年1月直至2022年5月,日志数字范围,是4180000到774807924,用于通过API检索唯一的明文日志。另外,分析2万份日志后发现了73000分令牌、访问密钥和其它与多种云服务如 GitHub、AWS 和 Docker Hub 相关联的其它凭据。尽管Travis CI 试图通过显示字符串“[secure]”对API进行速率限制并自动过滤构建日志中的安全环境变量和令牌,但结果仍然如此。

虽然 “github_token” 被混淆,但该令牌的其它20种变量仍然遵循不同的命名方法(包括github_secret、gh_token、github_api_key 和 github_secret)仍未被 Travis CI 掩盖。

研究人员指出,“Travis CI 放缓了API调用的速率,从而阻止了查询 API 的能力。然而在这种情况下,这样做仍然不过。具有技能的威胁行动者可找到绕过这一做法的应变措施。结合通过API访问日志的轻松程度、不完整的审查、访问‘受限制’日志以及速率限制和拦截API访问的弱进程,再加上大量可能被泄露的日志,导致这样一种严重情况。”

Travis CI 回应称该问题是有意设计的,用户应按照最佳实践避免在构建日志中泄露机密并定期修改令牌和机密。

自2022年4月发生攻击者利用Heroku 和 Travis CI 的被盗OAuth 用户令牌提升对NPM基础设施和克隆一些私密仓库的访问权限后,这次的研究成果意义尤为重大。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

6926183581f60f09e4924c1f6b0ee052.png

推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

RSA | 微软:供应链攻击会越来越严重

RSA | ISACA发布全球软件供应链报告

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps,更安全的应用

他坦白:只是为了研究才劫持流行库的,你信吗?

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟:管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击

RubyGems 包管理器中存在严重的 Gems 接管漏洞

美国商务部机构建议这样生成软件供应链 “身份证”

《软件供应商手册:SBOM的生成和提供》解读

和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN

不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环

NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?

NPM逻辑缺陷可用于分发恶意包,触发供应链攻击

攻击者“完全自动化”发动NPM供应链攻击

200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击

哪些NPM仓库更易遭供应链攻击?研究员给出了预测指标

NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

25个恶意JavaScript 库通过NPM官方包仓库分发

Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100

开源网站内容管理系统Micorweber存在XSS漏洞

热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分

开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控

开源工具 PrivateBin 修复XSS 漏洞

奇安信开源组件安全治理解决方案——开源卫士

原文链接

https://thehackernews.com/2022/06/unpatched-travis-ci-api-bug-exposes.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

66632784a2c5ddb14df0b89bd859d779.png

b11b55b063160f075fc330301d3a4f7e.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   49c5398d678c3e63e0d47d8867b3db0c.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

Travis CI 漏洞致数千个开源项目机密泄露
永远在学习Linux之路上
11-08 178
近日,研究人员 Felix Lange 爆出 Travis CI 存在严重安全漏洞,所有公共开源存储库的安全环境变量(签名秘钥、访问凭据和所有公共开源项目的 API tokens 等)都包含到 pull request 构建中,如果这些环境变量被窃取,那么这一漏洞将导致数千个开源项目的核心被泄露。 Travis CI 是一个开源的持续集成构建项目,别具一格地采用了yaml格式,累计为超过 90 万个开源项目和 60 万用户提供服务。因为它能与 GitHub 和 Bitbucket 无缝集成,所以目前..
详细分析PHP源代码后门事件及其供应链安全启示
smellycat000的专栏
03-30 2057
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根...
travis-api:Travis CI API
05-13
Travis API 警告!!!!! Master分支仅适用于.com。 如果您想为.org部署更改,请使用org-only分支 要求 您需要以下软件包才能使travis-api正常工作: PostgreSQL 9.3或更高版本 邦德勒 雷迪斯 可选: RabbitMQ服务器 可选: Nginx-如果在Ubuntu中工作,请从源代码手动安装nginx:下载并解压缩最新的nginx版本,在解压缩的文件夹中打开终端,然后运行以下命令: $ sudo apt-get install libpcre3 libpcre3-dev $ auto/configure --user=$USER $ make $ sudo make install $ sudo ln -s /usr/local/nginx/sbin/nginx /bin/nginx 安装 设
TravisCI配置文件详解
小人物大青春的博客
08-05 1470
参考官网链接:https://docs.travis-ci.com/
记一次使用Spring REST Docs + travis + github自动生成API接口文档的操作步骤(下)...
weixin_33869377的博客
06-18 132
[完待续] 最后,我们来到最简单的使用travis进行自动发布。 添加机器人文件 在根目录添加.travis.yml文件 # 声明使用语言 language: java # 声明JDK版本 jdk: - oraclejdk8 # travis升级后,增加该选项 group: edge # 声明使用的服务 services: ...
持续集成商 Travis CI 爆严重漏洞,数千开源项目机密或被盗
smellycat000的专栏
09-17 331
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根...
被投毒的管道:研究员探索CI环境中的攻击方法
smellycat000的专栏
02-17 234
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
网络安全行业名词
怡红群芳的博客
04-07 4607
网络安全行业名词
一系列令人敬畏的.NET核心库,工具,框架和软件
weixin_30530939的博客
06-17 3409
内容 一般 框架,库和工具 API 应用框架 应用模板 身份验证和授权 Blockchain 博特 构建自动化 捆绑和缩小 高速缓存 CMS 代码分析和指标 压缩 编译器,管道工和语言 加密 数据库 数据库驱动 数据库工具和实用程序 日期和时间 分布式计算 电子商务和支付 例外 功能编程 图像 GUI IDE 国际化 国际奥林匹克委...
travisci:Travis-CI API客户端软件包
05-17
该软件包已不再维护。 请改为使用 。
travis-ci-latex-pdf:Travis CI和部署服务,可从LaTeX文档构建PDF
02-03
这可能涉及到设置GitHub Webhooks和Travis CI访问令牌。 通过这种方式,"travis-ci-latex-pdf"项目提供了一种自动化的方法,使LaTeX作者能够专注于文档内容,而不必担心构建和分发过程。它节省了时间,提高了效率...
Java项目中的Travis CI:实现自动化构建与测试
09-22
本文将详细介绍Travis CI的基本概念、如何在Java项目中使用Travis CI,以及如何配置Travis CI来实现自动化的构建和测试流程。 Travis CIJava项目提供了一个简单而强大的持续集成解决方案。通过自动化构建和测试,...
monorepo-travis:试用配置Travis CI的monorepo
02-05
Travis CI monorepo演示 该存储库是有关使用构建Monorepo项目的实验。 如果您对其他CI选项感兴趣,请确保签出我的。 这个怎么运作? 它利用Travis矩阵功能,在.travis.yml我们在.travis.yml为不同项目位置定义...
HashMap为什么线程不安全
rnnf_yyds的博客
11-03 621
HashMap底层是基于数组 + 链表(在 Java 8 以后,当链表长度超过一定阈值时会转换为红黑树)的数据结构。在多线程环境下,当多个线程同时对HashMap进行put操作时,可下面这种情况:假设两个线程 A 和 B 同时执行put操作,它们计算出的插入位置相同(假设为index线程 A 先获取到了当前index位置的节点,在它还没来得及将新节点插入链表(或树)时,线程 B 也获取到了这个位置的节点。
[自用,更新自day5]瑞吉外卖代码及笔记
lapiii的博客
11-01 1114
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分页查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分页的时候展示的是菜品名字。
spring循环依赖解决方式
qq_36400213的博客
11-04 770
字段注入和setter注入则提供了更多的灵活性,但需要更谨慎地管理对象的状态。方法注入和注解注入则适用于特定的场景。在Spring框架中,依赖注入(Dependency Injection,DI)是一种实现控制反转(Inversion of Control,IoC)的机制,用于将对象的依赖关系自动注入到对象中。这种方式不如构造器注入严格,但比字段注入更灵活,因为它可以在不创建新实例的情况下改变对象的依赖。这种方式是推荐的,因为它可以保证对象在创建时就处于完全初始化的状态,并且可以使得bean不可变。
SpringSession源码分析
lkr_lkr的博客
11-01 449
默认对常规Session的理解和使用,如何使用Set-Cookie。
信息学科平台系统开发:基于Spring Boot的最佳实践
2401_85761762的博客
11-02 1003
在整个系统测试中,根据需求文档和设计文档,逐一对功能进行检测并写好测试用例,有效避免残片缺陷,因为产品出现缺陷不仅影响功能,而且可以导致数据的不准确,导致产品质量的降低,经过测试,才能使得产品的稳定性和成熟度得到极大的提升,产品质量也才有保证。本系统具有易操作、易管理、交互性好的特点,在操作上是非常简单的,因此在操作上具有很高的可行性。(2)该完整内容全面,管理方便可以及时的全面的处理各种错误,异常,这样避免了很多因用户的马虎操作而出现的失误,其操作方便,用户界面友好,能够上网的人都可以很好的进行操作。
Java知识】Java基础-对象排序的实现
最新发布
wendao76的专栏
11-04 255
方法,并且需要提供一个比较器(Comparator)来定义对象的排序逻辑。这些示例展示了如何在Java中对对象进行排序,无论是使用列表还是数组,都可以灵活地使用比较器来定义排序规则。在Java中,对象的排序通常涉及到使用。
Travis CI自动化:APK打包与Fir上传教程
在本文档中,我们将深入探讨如何利用Travis CI(持续集成工具)自动化APK(Android Package)的构建与打包过程,并将其成功上传至FIR(Firebase Test Lab)进行测试。Travis CI 是一款流行的开源服务,主要用于简化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值