Insiden keamanan yang baru-baru ini terungkap di CicleCI telah membuat pelanggan kesulitan untuk memperbarui rahasia apa pun yang disimpan di dalam sistem mereka.

Pelanggan platform CI/CD DevOps perlu memperbarui data mereka yang dilindungi — mulai dari token dan segala jenis kunci — stat, kata perusahaan itu dalam pengumuman 4 Januari dan pembaruan rutin berikutnya.

Namun, perusahaan meyakinkan para penggunanya bahwa masih aman untuk membangun aplikasi dengan CircleCI.

Selain berbagi alat untuk membantu tim melacak semua rahasia yang berpotensi terkena dampak, CircleCI mengumumkan bahwa mereka juga bekerja sama dengan AWS untuk memberi tahu mereka yang memiliki kemungkinan pelanggaran token. Perusahaan secara proaktif memperbarui token GitHub dan Bitbucket 0Auth juga, kata CircleCI. dilaporkan.

CircleCI juga memperingatkan pelanggan tentang a penipuan pemanenan kredensial beredar, mencoba membuat korban memasukkan login GitHub mereka dengan pembaruan Ketentuan Layanan palsu.

Kejatuhan Insiden Keamanan CircleCI

Menyusul pemberitahuan dari Insiden keamanan CircleCI, peneliti di Datadog menemukan bahwa kunci penandatanganan pribadi RPM GNU Privacy Guard (GPG) dan kata sandinya juga rentan. Meskipun tim Datadog tidak menemukan bukti eksploitasi, mereka telah memperbarui kunci RPM mereka. Tim juga merekomendasikan pembaruan kunci bagi mereka yang mengoperasikan distribusi Linux berbasis RPM di mana sistem mempercayai kunci GPG yang terpengaruh.

“Kunci penandatanganan, jika benar-benar bocor, dapat digunakan untuk membuat paket RPM yang terlihat seperti dari Datadog, tetapi tidak akan cukup untuk menempatkan paket seperti itu di repositori paket resmi kami,” lansiran dari Datadog menjelaskan. “Penyerang hipotetis dengan kunci yang terpengaruh harus dapat mengunggah paket RPM yang dibangun ke repositori yang digunakan oleh sistem.”