Sourced News

Atom Brief

15 Tem 2026 Çar · 14 haber · Doğrulandı · Abone ol
GÜVENLİK

Tailscale SSH tireli bir kullanıcı adını root girişine dönüştürdü

1.98.9 sürümünden önceki Tailscale SSH versiyonları kullanıcı adlarını doğrudan Linux'un getent komutuna aktarıyordu, bu yüzden '-i' bir isim olarak değil komut bayrağı olarak okundu.

  • '-i' kullanıcı adı Linux'un getent(1) komutuna bir isim olarak değil, --no-idn bayrağı olarak ulaştı.
  • Bunun üzerine getent, root hesabı girdisinden başlayarak tüm parola dosyasını yazdırdı.
  • Açık, root erişimini engellemeyi amaçlayan autogroup:nonroot ACL kurallarını aşıyordu; 1.98.9 sürümü bunu düzeltiyor.

Neden önemli: Altındaki yazılım hala işlenmemiş kullanıcı girdisine güveniyorsa bir izin kuralının hiçbir değeri yoktur.

Tailscale Security Bulletins (TS-2026-009) ↗ · 15 Tem 202615.07.26 · ✓ Teyitli

Topluluğa katıl.

Tüm haberler doğrudan birincil kaynaklardan teyit edilir.