TS-2026-009:Tailscale SSH 中的不安全参数处理导致 root 访问漏洞

TS-2026-009:Tailscale SSH 中的不安全参数处理导致 root 访问漏洞

Hacker News 摘要

原标题:TS-2026-009: Insecure argument handling in Tailscale SSH permitted root access

Tailscale 的安全公告页面记录了影响其客户端和服务的所有安全通知。如果用户直接受到安全问题的影响且留有联系方式,官方会主动联系。以下是各主要安全公告的具体详情:

2026 年公告

TS-2026-008:Tailscale Serve 或 Funnel 的拒绝服务漏洞

详情:一个畸形的 HTTP 请求会导致运行 Tailscale Serve 或 Funnel 的节点 CPU 核心无限循环,造成拒绝服务。原因是处理非绝对路径请求时,循环无法正常终止。

影响:攻击者可以消耗目标节点的一个 CPU 核心。

修复:升级至 1.98.9 或更新版本。

TS-2026-009:Tailscale SSH 允许 root 访问的安全漏洞

详情:Tailscale SSH 曾接受以 - 开头的用户名。在 Linux 平台上,这些用户名被传递给 getent(1) 时会被解释为参数。例如输入 -i 会导致打印整个 passwd 文件并开启 root 会话。

影响:具有 SSH 访问权限的用户可以通过连接 -i 用户名来获取 root 权限,违反了访问控制列表(ACL)策略。

修复:升级至 1.98.9 或更新版本。

TS-2026-007:服务中的入站数据包过滤不足

详情:在 1.98.9 之前的版本中,发布服务的节点会接受发往未发布端口的入站流量,并将其转发到本地回环接口(loopback)上监听相同端口的进程。

影响:拥有服务访问权限的用户可以触及托管节点上仅限回环访问的进程。

修复:升级至 1.98.9 或更新版本。

TS-2026-006:通过数字 UID 绕过 root 访问限制

详情:Tailscale SSH 此前允许通过用户名或 UID 访问,但 ACL 对 root 的限制仅考虑了用户名。使用 0@host 登录可以绕过限制。

影响:普通 SSH 用户可以以 root 身份访问节点。

修复:升级至 1.98.9 或更新版本。

TS-2026-005:Tailscale Serve Unix 套接字代理权限提升

详情:非 root 操作员可以通过 LocalAPI 配置代理指向特权 Unix 套接字(如 Docker),从而绕过文件系统权限。

修复:升级至 1.98.9 或更新版本,目前已限制该功能仅限 root 用户。

TS-2026-004:Tailscale SSH Unix 套接字转发符号链接漏洞

详情:系统在检查套接字路径权限时仅进行了词法匹配。攻击者可以通过在自己拥有的目录下创建指向特权资源(如 docker.sock)的符号链接来获取访问权限。

修复:升级至 1.98.9 或更新版本。

TS-2026-003:审计日志中记录了 OAuth 访问令牌

详情:协调服务器在审计日志中完整记录了 OAuth 客户端访问令牌。

影响:拥有日志访问权限的管理员可以在令牌一小时有效期内检索并使用它。

修复:官方已修复服务器端逻辑,历史令牌已过期。

TS-2026-002:客户端 Web 界面中的 ACL 绕过

详情:Web 界面的 /api/routes 端点存在漏洞,即使调用者没有相应权限,空的请求体也会重置出口节点和子网路由设置。

修复:升级至 1.98.0 或更新版本。

TS-2026-001:tssentineld 的特权命令执行漏洞

详情:在受管理(MDM)的 macOS 环境中,tssentineld 服务以 root 身份运行。由于在执行任务时使用了基础字符串替换来处理用户名,攻击者可以注入恶意命令。

影响:本地恶意用户可以以 root 权限执行任意命令。

修复:升级至 1.94.0 或更新版本。

2025 年公告

TS-2025-008:未配置状态目录导致 Tailnet Lock 失效

详情:如果运行 tailscaled 时没有指定 --statedir 等状态目录,节点将无法存储受信任的签名节点信息,从而错误地跳过签名检查。

修复:升级至 1.90.8 或更新版本,并强烈建议设置状态目录。

TS-2025-007:一次性认证密钥重用漏洞

详情:由于数据库事务处理中的竞态条件,多个节点可能在极短时间内使用同一个一次性认证密钥完成注册。

修复:官方已于 2025 年 11 月 7 日修复协调服务器。

TS-2025-006:共享子网路由器的访问控制逻辑问题

详情:跨 Tailnet 共享的子网路由器未强制执行 ACL 中的协议过滤器,导致原本仅限 UDP 的规则可能允许 TCP 等其他协议。

修复:官方已于 2025 年 10 月 29 日修复控制平面。

TS-2025-005:MDM 提供的认证密钥被记录在日志中

详情:macOS 和 iOS 上的特定版本会将所有 MDM 配置值(包括认证密钥)上传到 Tailscale 的日志服务器。

修复:升级至 1.86.4 或更新版本,官方已脱敏相关信息。

TS-2025-004:共享公共电子邮件提供商的安全风险

详情:Tailscale 默认根据电子邮件域名映射用户。对于未知的共享域名,不相关的用户可能会加入同一个 Tailnet。

行动:官方已对 600 多个共享域名进行了拆分,并默认对新 Tailnet 开启用户审批功能。

TS-2025-003:DERP 服务器身份验证的时间攻击风险

详情:DERP 服务器在验证集群密钥时使用了非恒定时间比较。

影响:攻击者可能发现密钥并枚举在线节点的公钥和 IP,或发起拒绝服务攻击。

修复:官方已更新所有 DERP 服务器并建议自定义 DERP 用户更新。

TS-2025-002:Grafana 代理中的特权提升

详情:由于代理未从 API 请求中删除 X-Webauth-* 请求头,恶意节点可以伪造身份。

修复:运行 go install 更新至最新版 Grafana 代理。

TS-2025-001:管理后台超时失效问题

详情:在不同 Tailnet 间切换时,系统错误地刷新了不活跃超时时间戳。

修复:官方已于 2025 年 3 月 7 日在生产环境中修复。

2024 年公告

TS-2024-013:SSH 录制失败导致绕过

详情:在配置了强制录制(enforceRecorder)的情况下,如果存储后端不可用,SSH 会话可能仍能短暂运行几秒钟。

修复:更新至 1.78.0 或更高版本,增强了启动检查和连接中断检测。

TS-2024-012:Tailscale Funnel 被用于钓鱼攻击

详情:恶意用户利用 Funnel 托管针对 Facebook 用户的钓鱼页面。

处理:官方已关停相关账户并增加检测手段。

TS-2024-009:明文 HTTP 泄露 API 凭证

详情:Tailscale API 此前未拒绝包含凭证的明文 HTTP 请求。

修复:目前 API 会拒绝此类请求并自动撤销观测到的被泄露密钥。

TS-2024-007:macOS 和 iOS 上的拆分 DNS 错误

详情:在特定网络切换场景下,查询基础节点名可能返回错误的 DNS 结果。

修复:升级至 1.68.0 或更高版本。

TS-2024-005:子网路由器和出口节点的过滤漏洞

详情:在 ACL 允许 src: * 的情况下,本地局域网(LAN)上的非 Tailnet 设备可以连接到 Tailnet 内部节点。

修复:升级至 1.66.0 或更新版本,官方重新定义了 * 的语义并增加了有状态包过滤。

TS-2024-001:Windows 和 Linux 上的本地特权提升

详情tailscale servefunnel 允许用户访问其账号无权访问但 tailscaled 进程有权访问的目录。

修复:Windows 升级至 1.52(Win10+)或 1.44.3(Win7/8),Linux 升级至 1.54 或更高版本。

2023 及 2022 年重要公告

TS-2023-009:Google Workspace 账户欺骗

详情:攻击者可以创建带有别名的个人 Google 账号来假冒受监管的域名账号,从而在原账号停用后保留 Tailnet 访问权。

修复:官方已禁止个人 Google 账号登录关联了 Workspace 的 Tailnet。

TS-2023-008:Kubernetes 操作器特权提升

详情:API 代理逻辑中的 Bug 允许认证用户以操作器服务账号的权限发送请求。

修复:更新镜像至 unstable-v1.53.37 或更高版本。

TS-2023-006:UPnP 端口映射暴露 UDP 端口

详情:部分路由器将外部端口 0 解释为转发所有外部端口。

影响:可能导致节点的所有 UDP 端口向互联网开放。

修复:官方禁用了受影响版本的 UPnP,升级至 1.48.1 可恢复安全的 UPnP 功能。

TS-2022-004/005:Windows 客户端远程代码执行(RCE)

详情:Windows 客户端的本地 API 缺少主机头验证,容易受到 DNS 重绑定攻击。恶意网站可以重新配置 Tailscale 守护进程。

影响:攻击者可以更换协调服务器并推送恶意程序。

修复:必须升级至 v1.32.3 或更高版本。


原文:https://tailscale.com/security-bulletins

评论:https://news.ycombinator.com/item?id=48915004

Report Page