Kembali ke ShazfaTech Lihat Semua Artikel
Tools Cyber Security
GitHub Memperbarui tindakan/checkout untuk Memblokir Pola Serangan Permintaan Pwn Umum
thehackernews. com 24 Juni 2026 PT Shazfatech Digital Solution

GitHub Memperbarui tindakan/checkout untuk Memblokir Pola Serangan Permintaan Pwn Umum

GitHub bergerak untuk memperkuat keamanan rantai pasokan perangkat lunak dengan memperbarui " tindakan/checkout " untuk memblokir serangan permintaan pwn yang mengeksploitasi penggunaan pemicu "alur kerja…

2 menit baca Tools Cyber Security 1 kali dibaca

Sumber: thehackernews. com

Insight ini dipublikasikan oleh PT Shazfatech Digital Solution dengan brand ShazfaTech. Sumber asli tetap dicantumkan agar pembaca dapat menelusuri referensi utama dan konteks artikel secara lebih utuh.

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. GitHub bergerak untuk memperkuat keamanan rantai pasokan perangkat lunak dengan memperbarui " tindakan/checkout " untuk memblokir serangan permintaan pwn yang mengeksploitasi…

GitHub bergerak untuk memperkuat keamanan rantai pasokan perangkat lunak dengan memperbarui " tindakan/checkout " untuk memblokir serangan permintaan pwn yang mengeksploitasi penggunaan pemicu "alur kerja pull_request_target" yang berisiko untuk menjalankan kode berbahaya dengan hak istimewa penuh alur kerja.

Bacaan Lanjutan Seputar Tools Cyber Security

Jika Anda ingin memperdalam topik ini, beberapa artikel berikut masih berada dalam konteks yang berhubungan dan layak dibaca setelah artikel ini.

Berlaku mulai 18 Juni 2026, versi terbaru "actions/checkout", tindakan resmi GitHub untuk memeriksa repositori ke dalam runner alur kerja, menolak pola permintaan pwn umum secara default. Perubahan ini diharapkan akan di-backport ke semua versi utama yang didukung saat ini pada 16 Juli 2026.

"Actions/checkout v7 menolak mengambil kode permintaan tarik garpu di alur kerja pull_request_target dan workflow_run (yang terakhir hanya jika workflow_run. event adalah acara pull_request*)," tambahnya.

Perubahan ini bertujuan untuk mencegah bentuk permintaan pwn yang paling umum di ekosistem Actions. Akibatnya, "tindakan/checkout" akan gagal untuk "acara pull_request_target" dari fork dengan input yang tidak aman.

"Menjalankan kode yang tidak tepercaya pada pemicu pull_request_target dapat menyebabkan kerentanan keamanan," catatan GitHub dalam dokumentasinya. “Kerentanan ini termasuk peracunan cache dan pemberian akses yang tidak disengaja untuk menulis hak istimewa atau rahasia.”

Bahaya muncul ketika "pull_request_target" digabungkan dengan "actions/checkout" untuk mengunduh dan mengeksekusi kode yang dikirimkan oleh fork yang tidak tepercaya. Jika pelaku jahat mengirimkan permintaan tarik yang berisi skrip berbahaya dan alur kerja memeriksa serta menjalankan kode, hal ini dapat memungkinkan penyerang mencuri GITHUB_TOKEN dan rahasia lainnya, yang mengarah pada apa yang disebut serangan permintaan pwn.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com

Lihat Semua Artikel Tentang Redaksi Kebijakan Editorial Profil Publisher Kontak Privasi

Topik yang Berhubungan

Lihat Semua Artikel

Yang Paling Sering Dibaca

Lihat Semua Artikel