<div dir="ltr"><a href="http://trac.buildbot.net/wiki/SecurityAlert090b4">http://trac.buildbot.net/wiki/SecurityAlert090b4</a><br><div id="wikipage" class=""><p>
The Buildbot WWW service publishes most of <tt>c['www']</tt> to the web 
frontend so that it can use that data for configuration.  Unfortunately,
 when hooks are configured, that data may contain secrets for those 
hooks.
</p>
<p>
The data is contained in the HTML document fetched from the root of the service.  For example:
</p>
<pre class="">dustin@hopper ~ $ curl <a href="http://nine.buildbot.net">nine.buildbot.net</a>
...{"authz": {}, "avatar_methods": {"name": "gravatar"}, "titleURL": "<a href="http://buildbot.net/">http://buildbot.net/</a>", "versions": [ ["Python", "2.7.10"], ["Buildbot", "0.9.0b4"], ["Twisted", "15.4.0"] ], "title": "Buildbot", "logfileName": "http.log", "user": {"anonymous": true}, "plugins": {"waterfall_view": {}}, "buildbotURL": "<a href="http://nine.buildbot.net/">http://nine.buildbot.net/</a>", "multiMaster": false, "auth": {"name": "NoAuth"}, "port": "tcp:8010:interface=192.168.80.244"}...
</pre><p>
The immediate solution is to omit the <tt>change_hook_dialects</tt> key, preventing the disclosure of this key - see <a class="" href="https://github.com/buildbot/buildbot/pull/1891"><span class="">​</span>https://github.com/buildbot/buildbot/pull/1891</a>.  The longer-term fix is to whitelist the configuration keys published - see <a class="" href="http://trac.buildbot.net/ticket/3374" title="defect: Whitelist config keys exposed in the config endpoint (new)">#3374</a>.
</p>
<p>
Buildbot-0.9.0b5 contains the fix in pull request 1891.  All users who 
have deployed a 0.9.0 beta with web hooks containing secrets are 
encouraged to update and to rotate their secrets.  Packages are 
available at
</p>
<ul><li><a class="" href="https://pypi.python.org/pypi/buildbot/0.9.0b5"><span class="">​</span>https://pypi.python.org/pypi/buildbot/0.9.0b5</a>
</li><li><a class="" href="https://pypi.python.org/pypi/buildbot-slave/0.9.0b5"><span class="">​</span>https://pypi.python.org/pypi/buildbot-slave/0.9.0b5</a>
</li><li><a class="" href="https://pypi.python.org/pypi/buildbot-pkg/0.9.0b5"><span class="">​</span>https://pypi.python.org/pypi/buildbot-pkg/0.9.0b5</a>
</li><li><a class="" href="https://pypi.python.org/pypi/buildbot-www/0.9.0b5"><span class="">​</span>https://pypi.python.org/pypi/buildbot-www/0.9.0b5</a>
</li><li><a class="" href="https://pypi.python.org/pypi/buildbot-console-view/0.9.0b5"><span class="">​</span>https://pypi.python.org/pypi/buildbot-console-view/0.9.0b5</a>
</li><li><a class="" href="https://pypi.python.org/pypi/buildbot-waterfall-view/0.9.0b5"><span class="">​</span>https://pypi.python.org/pypi/buildbot-waterfall-view/0.9.0b5</a>
</li></ul></div><br></div>