GitHub aus den USA veröffentlicht actions/checkout v7 zur Abwehr von Netzwerkangriffen_Weltnachrichten

GitHub aus den USA veröffentlicht actions/checkout v7 zur Abwehr von Netzwerkangriffen

2026-06-23 15:42

Merken

de.wedoany.com-Bericht: GitHub hat actions/checkout v7 veröffentlicht, das sogenannte „Pwn-Request“-Angriffe durch automatische Blockierung unsicherer Workflows verhindert. Diese Angriffe nutzen Fehlkonfigurationen des pull_request_target-Workflow-Triggers aus, sodass Angreifercode mit allen Workflow-Berechtigungen ausgeführt werden kann.

GitHub, Laptop

Die Ursache des Problems liegt darin, dass Entwickler zur Beschaffung von Geheimnissen wie API-Schlüsseln auf den pull_request_target-Trigger zurückgreifen. Dieser Trigger selbst ist nicht anfällig, aber wenn er in Kombination mit actions/checkout falsch konfiguriert wird und Code aus nicht vertrauenswürdigen Branches ausgecheckt wird, öffnet dies eine Hintertür für das Repository und seine Geheimnisse. Das am 18. Juni veröffentlichte actions/checkout v7 kann solche riskanten Workflows nun automatisch blockieren und zum Scheitern bringen.

GitHub weist im Changelog von v7 darauf hin, dass die einzige Möglichkeit, diese Prüfungen zu umgehen, darin besteht, dass Entwickler explizit allow-unsafe-pr-checkout hinzufügen, um sich abzumelden. Diese Änderung markiert den Beginn einer neuen Ära der „Sicherheit als Standard“, bei der die Sicherheit vom System definiert wird, anstatt den Entwicklern überlassen zu bleiben. Als Teil dieser Maßnahme wird die neue Standardeinstellung am 16. Juli auf alle unterstützten Hauptversionen zurückportiert. Workflows, die auf fließende Haupt-Tags (z. B. actions/checkout@v4) festgelegt sind, erhalten die Änderungen automatisch, während Workflows, die auf bestimmte SHAs, Nebenversionen oder Patch-Versionen festgelegt sind, nicht von der Rückportierung betroffen sind und über Dependabot oder einen etablierten Upgrade-Prozess aktualisiert werden müssen.

In jüngster Zeit haben Angriffe mit der Pwn-Request-Technik schwerwiegende Auswirkungen gehabt, und Open-Source-Repositories werden weiterhin von der Hackergruppe TeamPCP angegriffen. Im letzten Monat gelang es Angreifern, durch diese Schwachstelle 170 npm-Pakete zu kompromittieren, darunter das TanStack Router-Ökosystem. Darüber hinaus wurden in einem anderen Vorfall, der nicht mit Pwn-Request zusammenhing, die Quellcodes von rund 3800 internen Repositories von GitHub selbst gestohlen.

GitHub hat Maßnahmen ergriffen und eine Reihe von Sicherheitsreformen geplant, darunter die Einschränkung der Ausführung automatischer Installationsskripte in npm Anfang dieses Monats. Das Changelog weist auch darauf hin, dass zukünftige Versionen möglicherweise die Absicherung anderer Ereignisse weiter verstärken könnten, da Pwn-Request-Angriffe auch auf anderen Wegen erfolgen könnten.

Dieser Artikel wurde von Wedoany übersetzt und bearbeitet. Bei jeglicher Zitierung oder Nutzung durch künstliche Intelligenz (KI) ist die Quellenangabe „Wedoany“ zwingend vorgeschrieben. Sollten Urheberrechtsverletzungen oder andere Probleme vorliegen, bitten wir Sie, uns unverzüglich zu benachrichtigen. Wir werden den entsprechenden Inhalt umgehend anpassen oder löschen.