Sourced News

Atom Brief

الأربعاء، 15 يوليو 2026 · 14 أخبار · مؤكَّد · اشترك
الأمن

حول Tailscale SSH اسم مستخدم يحتوي على واصلة إلى تسجيل دخول بصلاحيات الجذر

مررت إصدارات Tailscale SSH الأقدم من 1.98.9 أسماء المستخدمين مباشرة إلى getent في Linux، لذلك تمت قراءة '-i' كعلامة أمر وليس كاسم.

  • وصل اسم المستخدم '-i' إلى getent(1) في Linux كعلامة --no-idn الخاصة به، وليس كاسم.
  • قام getent بعد ذلك بطباعة ملف كلمة المرور بالكامل، بدءا من إدخال حساب الجذر.
  • أبطلت الثغرة قوائم التحكم في الوصول autogroup:nonroot التي تهدف إلى حظر الجذر، وقد أصلح الإصدار 1.98.9 هذا الخطأ.

لماذا هذا مهم: لا قيمة لقاعدة الأذونات إذا كان البرنامج الذي يقوم عليها لا يزال يثق في إدخال المستخدم الخام.

Tailscale Security Bulletins (TS-2026-009) ↗ · 15 يوليو 202615‏/7‏/26 · ✓ تم التحقق

انضم إلى المجتمع.

كل قصة موثقة من مصدرها الأساسي.