Sourced News

Atom Brief

śr., 15 lip 2026 · 14 wiadomości · Potwierdzone · Subskrybuj
BEZPIECZEŃSTWO

Tailscale SSH zamienił nazwę użytkownika z myślnikiem w logowanie root

Wersje Tailscale SSH starsze niż 1.98.9 przekazywały nazwy użytkowników bezpośrednio do linuksowego narzędzia getent, przez co '-i' odczytywano jako flagę polecenia, a nie nazwę.

  • Nazwa użytkownika '-i' trafiała do linuksowego narzędzia getent(1) jako flaga --no-idn, a nie nazwa.
  • Narzędzie getent wypisywało wtedy pełny plik haseł, zaczynając od wpisu konta root.
  • Luka ta omijała listy ACL autogroup:nonroot mające blokować dostęp root, naprawia to wersja 1.98.9.

Dlaczego to ważne: Reguły uprawnień są bezwartościowe, jeśli oprogramowanie poniżej nadal ufa surowym danym od użytkownika.

Tailscale Security Bulletins (TS-2026-009) ↗ · 15 lip 202615.07.26 · ✓ Sprawdzone

Dołącz do społeczności.

Każdy artykuł jest weryfikowany z oryginalnymi dokumentami.