fr.wedoany.com Rapport : GitHub a lancé actions/checkout v7, qui bloque automatiquement les workflows non sécurisés afin de contrer les attaques dites « pwn request ». Ces attaques exploitent une mauvaise configuration du déclencheur de workflow pull_request_target, permettant au code de l'attaquant d'obtenir tous les privilèges du workflow pour s'exécuter.

La racine du problème réside dans le fait que les développeurs se tournent vers le déclencheur pull_request_target pour obtenir des secrets tels que des clés API. Ce déclencheur n'est pas vulnérable en soi, mais s'il est mal configuré en combinaison avec actions/checkout, en extrayant du code provenant de branches non fiables, il ouvre une porte dérobée au dépôt et à ses secrets. Lancée le 18 juin, la version actions/checkout v7 peut désormais bloquer automatiquement ces workflows à risque et les faire échouer.

GitHub indique dans le journal des modifications de la v7 que la seule façon de contourner ces vérifications est que le développeur ajoute explicitement allow-unsafe-pr-checkout pour se désengager. Ce changement marque le début d'une nouvelle ère de « sécurité par défaut », où la sécurité est définie par le système plutôt que laissée à la discrétion du développeur. Dans le cadre de cette initiative, le nouveau paramètre par défaut sera rétroactivement appliqué à toutes les versions majeures prises en charge à partir du 16 juillet. Les workflows fixés à des balises principales flottantes (comme actions/checkout@v4) bénéficieront automatiquement des modifications, tandis que ceux fixés à un SHA spécifique, une version mineure ou une version de correctif ne seront pas affectés par la rétroactivité et devront être mis à niveau via Dependabot ou un processus de mise à niveau établi.

Récemment, les attaques utilisant la technique pwn request ont eu un impact grave, les dépôts open source étant continuellement ciblés par le groupe de hackers TeamPCP. Le mois dernier, les attaquants ont compromis 170 paquets npm via cette vulnérabilité, y compris l'écosystème TanStack Router. De plus, dans un autre incident n'impliquant pas de pwn request, le code source d'environ 3 800 dépôts internes de GitHub lui-même a été volé.

GitHub a pris des mesures et planifié une série de réformes de sécurité, notamment la limitation de l'exécution des scripts d'installation automatique dans npm plus tôt ce mois-ci. Le journal des modifications indique également que, comme les attaques pwn request peuvent se produire par d'autres voies, les futures versions pourraient explorer le renforcement supplémentaire de la protection d'autres événements.

Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com