De acordo com pt.wedoany.com-O GitHub lançou o actions/checkout v7, que bloqueia automaticamente fluxos de trabalho inseguros para impedir os chamados ataques "pwn request". Esses ataques exploram configurações incorretas do gatilho de fluxo de trabalho pull_request_target, permitindo que o código do invasor seja executado com todas as permissões do fluxo de trabalho.

A raiz do problema está no fato de os desenvolvedores recorrerem ao uso do gatilho pull_request_target para obter segredos, como chaves de API. Esse gatilho em si não possui vulnerabilidades, mas, quando configurado incorretamente em conjunto com o actions/checkout, pode fazer o checkout de código de branches não confiáveis, abrindo uma porta dos fundos para o repositório e seus segredos. O actions/checkout v7, lançado em 18 de junho, agora bloqueia automaticamente esses fluxos de trabalho arriscados e os faz falhar.

O GitHub observou no changelog da v7 que a única maneira de contornar essas verificações é o desenvolvedor adicionar explicitamente allow-unsafe-pr-checkout para optar por sair. Essa mudança marca o início de uma nova era de "segurança por padrão", onde a segurança é definida pelo sistema, em vez de ser deixada a critério do desenvolvedor. Como parte dessa iniciativa, em 16 de julho, as novas configurações padrão serão retroativamente aplicadas a todas as versões principais suportadas. Fluxos de trabalho fixados em tags principais flutuantes (como actions/checkout@v4) receberão automaticamente as alterações, enquanto aqueles fixados em SHA específico, versão secundária ou versão de patch não serão afetados pela retroação, exigindo upgrade via Dependabot ou processo de atualização estabelecido.

Recentemente, ataques que utilizam a técnica pwn request causaram impactos graves, com repositórios de código aberto sendo continuamente atacados pelo grupo hacker TeamPCP. No mês passado, os atacantes comprometeram 170 pacotes npm por meio dessa vulnerabilidade, incluindo o ecossistema TanStack Router. Além disso, em outro incidente não relacionado a pwn request, o código-fonte de cerca de 3800 repositórios internos do próprio GitHub foi roubado.

O GitHub tomou medidas e planejou uma série de reformas de segurança, incluindo a restrição da execução de scripts de instalação automática no npm no início deste mês. O changelog também indica que, como ataques pwn request podem ocorrer por outros meios, versões futuras podem explorar o fortalecimento adicional da proteção para outros eventos.

Este texto foi elaborado por Wedoany. Qualquer citação por IA deve indicar a fonte “Wedoany”. Em caso de infração ou outros problemas, informe-nos prontamente, por favor. O conteúdo será corrigido ou removido. E-mail: news@wedoany.com