🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O GitHub está se movendo para fortalecer a segurança da cadeia de suprimentos de software, atualizando “ações/checkout” para bloquear ataques de solicitação de pwn que exploram o uso arriscado do gatilho “fluxo de trabalho pull_request_target” para executar código malicioso com todos os privilégios do fluxo de trabalho.
A partir de 18 de junho de 2026, a versão mais recente de “actions/checkout”, a ação oficial do GitHub para fazer check-out de um repositório no executor do fluxo de trabalho, recusa padrões comuns de solicitação pwn por padrão. Espera-se que a mudança seja retroportada para todas as versões principais atualmente suportadas em 16 de julho de 2026.
“Actions/checkout v7 se recusa a buscar o código de solicitação de pull fork nos fluxos de trabalho pull_request_target e workflow_run (o último apenas quando workflow_run.event é um evento pull_request*)”, acrescentou.
A recusa ocorre quando a solicitação pull é de uma bifurcação e qualquer um dos seguintes critérios é atendido, a menos que os autores do fluxo de trabalho optem explicitamente por não fazê-lo, definindo o sinalizador "allow-unsafe-pr-checkout" como "true" em "actions/checkout" -
repositório: resolve para o repositório do fork pull request
ref: corresponde a refs/pull/number/head ou refs/pull/number/merge
ref: resolve para o cabeçalho de uma solicitação pull de fork ou mesclagem commit SHA
A mudança visa prevenir a forma mais comum de solicitações pwn no ecossistema de Ações. Como resultado, "actions/checkout" falhará para "eventos pull_request_target" de bifurcações com entradas inseguras.
"Pull_request_target" é um gatilho de fluxo de trabalho que é executado automaticamente sem exigir aprovação manual quando uma solicitação pull é aberta ou reaberta ou quando o branch principal da solicitação pull é atualizado. É importante observar que o evento é executado no contexto da ramificação padrão do repositório base, potencialmente expondo segredos e um GITHUB_TOKEN privilegiado com permissões de leitura e gravação.
“A execução de código não confiável no gatilho pull_request_target pode levar a vulnerabilidades de segurança”, observa o GitHub em sua documentação. “Essas vulnerabilidades incluem envenenamento de cache e concessão de acesso não intencional para escrever privilégios ou segredos.”
O perigo surge quando um “pull_request_target” é combinado com “actions/checkout” para baixar e executar código enviado por um fork não confiável. Se um malfeitor enviar uma solicitação pull contendo scripts maliciosos e o fluxo de trabalho verificar e executar o código, isso poderá permitir que o invasor roube o GITHUB_TOKEN e outros segredos, levando ao que é chamado de ataque de solicitação pwn.
“Fluxos de trabalho acionados por pull_request_target são executados com o GITHUB_TOKEN do repositório base, segredos e acesso ao cache da ramificação padrão”, disse o GitHub. “Verificar o cabeçalho de uma solicitação pull não revisada de uma bifurcação dentro de um desses fluxos de trabalho normalmente permite que o código controlado pelo invasor seja executado com todos os privilégios do fluxo de trabalho.”
Nos últimos meses, vários ataques à cadeia de software transformaram esse comportamento em arma. O mais grave deles foi o comprometimento de vários pacotes associados ao sistema de compilação Nx como parte de uma campanha com o codinome s1ngularity, bem como a violação do PostHog, TanStack e do popular pacote Emacs, “kubernetes-el/kubernetes-el”.
“Pull_request_target foi projetado para automação confiável em torno de solicitações pull, como rotulagem, comentários ou aplicação de metadados de projeto”, disse Socket. "Mas a etapa de checkout controla qual código realmente chega ao espaço de trabalho do executor. Se extrair código de uma solicitação pull bifurcada, o fluxo de trabalho pode acabar executando código controlado pelo invasor com os privilégios do repositório base."
Dito isto, a subsidiária da Microsoft enfatizou que as solicitações pwn acionadas por meio de outros tipos de eventos além de pull_request_target (por exemplo, issue_comment) ou por outros meios, como git ou GitHub CLI, estão fora do escopo desta mudança.
“Essa mudança bloqueia apenas checkouts do cabeçalho da solicitação de pull de fork e commits de mesclagem”, acrescentou. "Ele não bloqueia verificações de outros repositórios não confiáveis. Por exemplo, definir repositório: para um repositório de terceiros não relacionado não é bloqueado. Fazer check-out e executar qualquer código não confiável em um evento privilegiado continua sendo um risco de solicitação de pwn que deve ser revisado."
Para combater o risco representado por "pull_request_target", os desenvolvedores são aconselhados a avaliá-lo e usá-lo somente quando necessário, mudar para "pull_request" se o fluxo de trabalho não exigir permissões elevadas ou acesso a segredos, restringir as permissões concedidas aos fluxos de trabalho e garantir que a entrada controlada pelo usuário não resulte na execução de código não confiável.
“A proteção nesta atualização cobre apenas checkouts realizados por meio de ações/checkout”, disse Socket. "Isso torna isso uma proteção, não uma solução completa para segurança de ações. Fluxos de trabalho executados com segredos, permissões de gravação, permissões de implantação ou acesso de publicação OIDC ainda precisam de uma revisão cuidadosa."
A partir de 18 de junho de 2026, a versão mais recente de “actions/checkout”, a ação oficial do GitHub para fazer check-out de um repositório no executor do fluxo de trabalho, recusa padrões comuns de solicitação pwn por padrão. Espera-se que a mudança seja retroportada para todas as versões principais atualmente suportadas em 16 de julho de 2026.
“Actions/checkout v7 se recusa a buscar o código de solicitação de pull fork nos fluxos de trabalho pull_request_target e workflow_run (o último apenas quando workflow_run.event é um evento pull_request*)”, acrescentou.
A recusa ocorre quando a solicitação pull é de uma bifurcação e qualquer um dos seguintes critérios é atendido, a menos que os autores do fluxo de trabalho optem explicitamente por não fazê-lo, definindo o sinalizador "allow-unsafe-pr-checkout" como "true" em "actions/checkout" -
repositório: resolve para o repositório do fork pull request
ref: corresponde a refs/pull/number/head ou refs/pull/number/merge
ref: resolve para o cabeçalho de uma solicitação pull de fork ou mesclagem commit SHA
A mudança visa prevenir a forma mais comum de solicitações pwn no ecossistema de Ações. Como resultado, "actions/checkout" falhará para "eventos pull_request_target" de bifurcações com entradas inseguras.
"Pull_request_target" é um gatilho de fluxo de trabalho que é executado automaticamente sem exigir aprovação manual quando uma solicitação pull é aberta ou reaberta ou quando o branch principal da solicitação pull é atualizado. É importante observar que o evento é executado no contexto da ramificação padrão do repositório base, potencialmente expondo segredos e um GITHUB_TOKEN privilegiado com permissões de leitura e gravação.
“A execução de código não confiável no gatilho pull_request_target pode levar a vulnerabilidades de segurança”, observa o GitHub em sua documentação. “Essas vulnerabilidades incluem envenenamento de cache e concessão de acesso não intencional para escrever privilégios ou segredos.”
O perigo surge quando um “pull_request_target” é combinado com “actions/checkout” para baixar e executar código enviado por um fork não confiável. Se um malfeitor enviar uma solicitação pull contendo scripts maliciosos e o fluxo de trabalho verificar e executar o código, isso poderá permitir que o invasor roube o GITHUB_TOKEN e outros segredos, levando ao que é chamado de ataque de solicitação pwn.
“Fluxos de trabalho acionados por pull_request_target são executados com o GITHUB_TOKEN do repositório base, segredos e acesso ao cache da ramificação padrão”, disse o GitHub. “Verificar o cabeçalho de uma solicitação pull não revisada de uma bifurcação dentro de um desses fluxos de trabalho normalmente permite que o código controlado pelo invasor seja executado com todos os privilégios do fluxo de trabalho.”
Nos últimos meses, vários ataques à cadeia de software transformaram esse comportamento em arma. O mais grave deles foi o comprometimento de vários pacotes associados ao sistema de compilação Nx como parte de uma campanha com o codinome s1ngularity, bem como a violação do PostHog, TanStack e do popular pacote Emacs, “kubernetes-el/kubernetes-el”.
“Pull_request_target foi projetado para automação confiável em torno de solicitações pull, como rotulagem, comentários ou aplicação de metadados de projeto”, disse Socket. "Mas a etapa de checkout controla qual código realmente chega ao espaço de trabalho do executor. Se extrair código de uma solicitação pull bifurcada, o fluxo de trabalho pode acabar executando código controlado pelo invasor com os privilégios do repositório base."
Dito isto, a subsidiária da Microsoft enfatizou que as solicitações pwn acionadas por meio de outros tipos de eventos além de pull_request_target (por exemplo, issue_comment) ou por outros meios, como git ou GitHub CLI, estão fora do escopo desta mudança.
“Essa mudança bloqueia apenas checkouts do cabeçalho da solicitação de pull de fork e commits de mesclagem”, acrescentou. "Ele não bloqueia verificações de outros repositórios não confiáveis. Por exemplo, definir repositório: para um repositório de terceiros não relacionado não é bloqueado. Fazer check-out e executar qualquer código não confiável em um evento privilegiado continua sendo um risco de solicitação de pwn que deve ser revisado."
Para combater o risco representado por "pull_request_target", os desenvolvedores são aconselhados a avaliá-lo e usá-lo somente quando necessário, mudar para "pull_request" se o fluxo de trabalho não exigir permissões elevadas ou acesso a segredos, restringir as permissões concedidas aos fluxos de trabalho e garantir que a entrada controlada pelo usuário não resulte na execução de código não confiável.
“A proteção nesta atualização cobre apenas checkouts realizados por meio de ações/checkout”, disse Socket. "Isso torna isso uma proteção, não uma solução completa para segurança de ações. Fluxos de trabalho executados com segredos, permissões de gravação, permissões de implantação ou acesso de publicação OIDC ainda precisam de uma revisão cuidadosa."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #github #atualiza #ações/checkout #para #bloquear #padrões #comuns #de #ataque #de #solicitação #de #pwn
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário