Sourced News

Atom Brief

יום ד׳, 15 ביולי 2026 · 14 ידיעות · מאומת · הרשמה
אבטחה

שירות Tailscale SSH הפך שם משתמש עם מקף להתחברות משתמש Root

גרסאות Tailscale SSH לפני 1.98.9 העבירו שמות משתמש ישירות ל-getent של Linux, כך ש-'-i' נקרא כדגל פקודה ולא כשם.

  • שם המשתמש '-i' הגיע ל-getent(1) של Linux כדגל ה- --no-idn שלו, ולא כשם.
  • לאחר מכן, getent הדפיס את קובץ הסיסמאות המלא, החל מרשומת חשבון ה-Root.
  • הפגם עקף את רשימות בקרת הגישה autogroup:nonroot שנועדו לחסום את Root, גרסה 1.98.9 מתקנת את זה.

למה זה חשוב: כלל הרשאות אינו שווה דבר אם התוכנה שמתחתיו עדיין סומכת על קלט משתמש גולמי.

Tailscale Security Bulletins (TS-2026-009) ↗ · 15 ביולי 202615.7.26 · ✓ נבדק

הצטרפו לקהילה.

כל כתבה מאומתת מול מסמך המקור.