<div dir="ltr"><a href="http://trac.buildbot.net/wiki/SecurityAlert090b4">http://trac.buildbot.net/wiki/SecurityAlert090b4</a><br><div id="wikipage" class=""><p>

The Buildbot WWW service publishes most of <tt>c['www']</tt> to the web 

frontend so that it can use that data for configuration.  Unfortunately,

 when hooks are configured, that data may contain secrets for those 

hooks.

</p>

<p>

The data is contained in the HTML document fetched from the root of the service.  For example:

</p>

<pre class="">dustin@hopper ~ $ curl <a href="http://nine.buildbot.net">nine.buildbot.net</a>

...{"authz": {}, "avatar_methods": {"name": "gravatar"}, "titleURL": "<a href="http://buildbot.net/">http://buildbot.net/</a>", "versions": [ ["Python", "2.7.10"], ["Buildbot", "0.9.0b4"], ["Twisted", "15.4.0"] ], "title": "Buildbot", "logfileName": "http.log", "user": {"anonymous": true}, "plugins": {"waterfall_view": {}}, "buildbotURL": "<a href="http://nine.buildbot.net/">http://nine.buildbot.net/</a>", "multiMaster": false, "auth": {"name": "NoAuth"}, "port": "tcp:8010:interface=192.168.80.244"}...

</pre><p>

The immediate solution is to omit the <tt>change_hook_dialects</tt> key, preventing the disclosure of this key - see <a class="" href="https://github.com/buildbot/buildbot/pull/1891"><span class=""></span>https://github.com/buildbot/buildbot/pull/1891</a>.  The longer-term fix is to whitelist the configuration keys published - see <a class="" href="http://trac.buildbot.net/ticket/3374" title="defect: Whitelist config keys exposed in the config endpoint (new)">#3374</a>.

</p>

<p>

Buildbot-0.9.0b5 contains the fix in pull request 1891.  All users who 

have deployed a 0.9.0 beta with web hooks containing secrets are 

encouraged to update and to rotate their secrets.  Packages are 

available at

</p>

<ul><li><a class="" href="https://pypi.python.org/pypi/buildbot/0.9.0b5"><span class=""></span>https://pypi.python.org/pypi/buildbot/0.9.0b5</a>

</li><li><a class="" href="https://pypi.python.org/pypi/buildbot-slave/0.9.0b5"><span class=""></span>https://pypi.python.org/pypi/buildbot-slave/0.9.0b5</a>

</li><li><a class="" href="https://pypi.python.org/pypi/buildbot-pkg/0.9.0b5"><span class=""></span>https://pypi.python.org/pypi/buildbot-pkg/0.9.0b5</a>

</li><li><a class="" href="https://pypi.python.org/pypi/buildbot-www/0.9.0b5"><span class=""></span>https://pypi.python.org/pypi/buildbot-www/0.9.0b5</a>

</li><li><a class="" href="https://pypi.python.org/pypi/buildbot-console-view/0.9.0b5"><span class=""></span>https://pypi.python.org/pypi/buildbot-console-view/0.9.0b5</a>

</li><li><a class="" href="https://pypi.python.org/pypi/buildbot-waterfall-view/0.9.0b5"><span class=""></span>https://pypi.python.org/pypi/buildbot-waterfall-view/0.9.0b5</a>

</li></ul></div><br></div>