es.wedoany.com Noticia: GitHub ha lanzado actions/checkout v7, que bloquea automáticamente los flujos de trabajo inseguros para prevenir los llamados ataques "pwn request". Estos ataques explotan configuraciones incorrectas del desencadenador de flujo de trabajo pull_request_target, permitiendo que el código del atacante se ejecute con todos los permisos del flujo de trabajo.

La raíz del problema radica en que los desarrolladores recurren al desencadenador pull_request_target para obtener secretos como claves API. Este desencadenador en sí no tiene vulnerabilidades, pero si se configura incorrectamente junto con actions/checkout, al extraer código de ramas no confiables, abre una puerta trasera al repositorio y sus secretos. La versión actions/checkout v7, lanzada el 18 de junio, ahora puede bloquear automáticamente estos flujos de trabajo riesgosos y hacer que fallen.

GitHub señaló en el registro de cambios de v7 que la única forma de eludir estas comprobaciones es que los desarrolladores agreguen explícitamente allow-unsafe-pr-checkout para optar por no participar. Este cambio marca el comienzo de una nueva era de "seguridad por defecto", donde la seguridad es definida por el sistema en lugar de dejarla a criterio del desarrollador. Como parte de esta medida, el 16 de julio la nueva configuración predeterminada se aplicará retroactivamente a todas las versiones principales compatibles. Los flujos de trabajo fijados a etiquetas principales flotantes (como actions/checkout@v4) obtendrán automáticamente los cambios, mientras que aquellos fijados a un SHA específico, versión secundaria o parche no se verán afectados por la aplicación retroactiva y deberán actualizarse mediante Dependabot o un proceso de actualización establecido.

Recientemente, los ataques que utilizan la técnica pwn request han causado graves impactos, y los repositorios de código abierto continúan siendo atacados por el grupo hacker TeamPCP. El mes pasado, los atacantes comprometieron 170 paquetes npm a través de esta vulnerabilidad, incluido el ecosistema TanStack Router. Además, en otro incidente no relacionado con pwn request, se robaron los códigos fuente de aproximadamente 3800 repositorios internos del propio GitHub.

GitHub ha tomado medidas y ha planificado una serie de reformas de seguridad, incluyendo la restricción de la ejecución automática de scripts de instalación en npm a principios de este mes. El registro de cambios también indica que, dado que los ataques pwn request pueden ocurrir a través de otras vías, las versiones futuras podrían explorar un mayor fortalecimiento de la protección contra otros eventos.

Este artículo es compilado por Wedoany, las citas de la IA deben indicar la fuente «Wedoany»; si hay alguna infracción u otro problema, por favor notifícanos a tiempo, este sitio lo modificará o eliminará. Correo electrónico: news@wedoany.com