kalfaoglu.net günlüğü

4 Haziran 2026’da PHP ekibi iki güncelleme yayımladı: PHP 8.4.22 ve PHP 8.5.7 — ikisi de rutin hata düzeltme sürümleri. Dikkat çeken nokta şu: 8.2 güncellemesi yok, 8.3 güncellemesi yok. Bu bir gözden kaçırma değil; sürüm döngüsünün tasarlandığı gibi işlemesi. Bir PHP dalı aktif desteği bitirince, yalnızca uygun güvenlik açıkları ortaya çıktığında güvenlik yaması alır. Rutin hata düzeltmeleri durur. Haziran bir hata düzeltme ayıydı; 8.2 ve 8.3 bu döngünün dışında kaldı. ...

Apache HTTP Server 2.4.68, 8 Haziran 2026’da yayınlandı — Mayıs ayı başındaki 2.4.67’den sonraki ilk ara sürüm ve projenin kendi indirme sayfasında belirttiği gibi “önceki tüm sürümlere göre tercih edilmesi gereken” sürüm. Kendi LAMP sunucunuzu işletiyorsanız bu hafta yama listenizin başına bunu yazın. Bu sürümde gerçekte ne var httpd.apache.org üzerindeki kamuya açık CVE listesi henüz bu sürümle tam senkronize değil, ancak tek tek açıklamalar oss-security listesine ve dağıtım güvenlik takipçilerine düştü. Özellikle bilinmesi gereken üç açık var. ...

5 Haziran 2026’da yayımlanan Rspamd 4.1.0, geliştirici ekibinin “tüm kullanıcılara önerilen güncelleme” olarak nitelendirdiği büyük bir sürüm. İçeriğine bakınca bu önerinin abartı olmadığı görülüyor; posta sunucusu işleten herkesin körü körüne geçiş yapmadan önce değişiklik notlarını incelemesi gerekiyor. Güvenlik yamaları Bu sürüm, gelen postayla tetiklenebilen birkaç bellek güvenliği açığını kapatıyor. S/MIME ile yığın tükenmesi (DoS): Derin biçimde iç içe geçmiş application/pkcs7-mime içeren bir ileti, rspamd’ın ayrıştırıcısını max_nested sayacını artırmadan yeniden giriyordu. Sonuç: kötü niyetli bir gönderici, özel hazırlanmış tek bir iletiyle çalışan worker sürecinin yığınını tüketebiliyordu. Düzeltme, S/MIME yeniden girişini mevcut max_nested sınırına bağlıyor. ...

3 Haziran 2026’da araştırmacı Quang Luong, “HTTP/2 Bombası” adını verdiği uzaktan servis dışı bırakma açığını yayımladı. Açık, sıradan bir ev internet bağlantısından on gigabayt sunucu belleğini saniyeler içinde tüketebiliyor. Güvenlik açığı aynı gün oss-security listesine de iletildi ve nginx, Apache httpd, Microsoft IIS, Envoy ile Cloudflare Pingora’yı varsayılan HTTP/2 yapılandırmalarında etkiliyor. Apache httpd kolu için CVE-2026-49975 tanımlayıcısı atandı. Saldırı nasıl çalışıyor Açık, her biri yaklaşık on yıldır ayrı ayrı bilinen iki tekniği, bu sunuculara karşı daha önce hiç birleştirilmemiş bir şekilde kullanıyor. ...

Google ve Yahoo, e-posta kimlik doğrulama kurallarını Şubat 2024’te hayata geçirdi. Microsoft bu süreci uzaktan izledi, bir süre bekledi ve aynı adımı 5 Mayıs 2025’te attı. SPF, DKIM ve DMARC kayıtlarınızı hâlâ düzeltmediyseniz, gönderdiğiniz e-postaların bir kısmı sessiz sedasız reddediliyor olabilir — karşı taraftan hata mesajı gelmeden, sizde de bir hata bildirimi oluşmadan. Microsoft Ne İstiyor? Microsoft’un tüketici e-posta adreslerine (@outlook.com, @hotmail.com, @live.com) günde 5.000 veya daha fazla ileti gönderen alan adları için üç koşul zorunlu: ...

Dovecot ekibi, 5 Mayıs 2026 tarihinde OXDC-2026-0002 güvenlik duyurusunu yayımladı. Duyuru, OX Dovecot CE 2.4.4 (ve Pro 3.1.5) sürümlerinde giderilen beş güvenlik açığını kapsıyor. CE 2.4.3 veya önceki bir sürüm çalıştırıyorsanız güncelleme için beklemeniz gereken bir neden yok. Açıklamanın içeriği CVE-2026-27851 — Değişken genişletme yoluyla SQL/LDAP enjeksiyonu (CVSS 7.4) Beşinin en ciddisi bu. Dovecot’ın lib-var-expand modülünde safe filtresi kullanıldığında, aynı karakter dizisi üzerindeki sonraki tüm ardışık işlemler de yanlışlıkla güvenli sayılıyor. Bunun sonucu: saldırgan tarafından kontrol edilen veriler, kimlik doğrulamada kullanılan SQL veya LDAP sorgularına kaçış yapılmadan yazılabiliyor. Henüz kamuya açık bir istismar kodu yok, ancak ağ üzerinden, kimlik doğrulama gerektirmeksizin tetiklenebilen bir CVSS 7.4’ü bekletmek pek akıllıca değil. Hemen yükseltemiyorsanız geçici çözüm, yapılandırmanızda safe filtresini kullanmaktan kaçınmak. ...

MariaDB, CVE-2026-35549 açığını 3 Nisan 2026’da kapattı. Aradan yedi hafta geçti; düzeltilmiş paketler hâlâ RHEL 8, 9 ve 10, Ubuntu LTS ve CentOS 8 depolarına ulaşmadı. Dağıtım paket yöneticisi üzerinden kurulu bir MariaDB çalıştırıyorsanız ve caching_sha2_password kimlik doğrulama eklentisi etkinse, sisteme erişimi olan herhangi bir kullanıcı tek bir büyük paketle veritabanı sunucusunu düşürebilir. Açık Nerede? Sorun, MySQL 8.0’ın varsayılan yaptığı eklentinin MariaDB uyumluluk katmanında yatıyor: caching_sha2_password. Eklenti, bir kimlik doğrulama isteği aldığında sha256_crypt_r fonksiyonunu çağırır. Bu fonksiyon belleği alloca() ile ayırır. malloc()‘tan farklı olarak alloca(), boyut denetimi yapmadan doğrudan yığıt (stack) üzerinden bellek alır. Yeterince büyük bir paket geldiğinde sunucu yığıtın üst sınırını aşar ve süreç anında çöker. ...

WHMCS kullanıyorsanız ve geçen hafta güncelleme yapmadıysanız, bu yazıyı okumayı bırakıp önce güncellemeyi yapın. Tamamlandı mı? O zaman devam edelim. Açık Nedir? 12 Mayıs 2026’da WHMCS, CVE-2026-29204 numaralı bir güvenlik açığını duyurdu. Sorun, clientarea.php dosyasında yer alan eksik sahiplik kontrollerinden kaynaklanıyor. Teknik adıyla bu bir IDOR (Insecure Direct Object Reference / Kullanıcı Denetimli Anahtarla Yetkilendirme Atlatma) açığıdır ve CWE-639 olarak sınıflandırılmıştır. Sorunun özü şu: Müşteri panelinde bir kullanıcı, addonId parametresini içeren bir istek gönderdiğinde WHMCS bu eklentinin gerçekten o hesaba ait olup olmadığını doğrulamıyor. Başka bir kullanıcının addonId değerini tahmin eden ya da ele geçiren biri, o kişinin hizmetlerine doğrudan erişebiliyor. ...

7 Mayıs 2026’da PHP ekibi, desteklenen dört dal için eş zamanlı güvenlik güncellemeleri yayımladı: PHP 8.5.6, 8.4.21, 8.3.31 ve 8.2.31. Her dal “güvenlik güncellemesi” olarak işaretlendiğinde bu, “uygun bir bakım penceresinde hallederim” kategorisine giren bir güncelleme değil demektir. Özellikle PHP-FPM çalıştıran sunucular için bu sürümde giderilen XSS açığı bugün ilgilenmeyi hak ediyor. FPM Durum Sayfasındaki XSS (CVE-2026-6735) CVE-2026-6735, PHP-FPM’nin durum (/status) sayfasından kaynaklanıyor: istek URI’si HTML çıktısına yeterince temizlenmeden yansıtılıyor. CVSS 4.0 puanı 7,3. Saldırgan, FPM durum sayfasına erişimi olan birini özel hazırlanmış bir URL’ye yönlendirirse kurbanın tarayıcısında rastgele JavaScript çalıştırabiliyor; bu da oturum çalma gibi saldırılara kapı aralıyor; özellikle durum sayfası dahili bir izleme panosuna açıksa. ...

MariaDB’nin JSON_SCHEMA_VALID() fonksiyonundaki bir heap buffer overflow açığı, yıllarca fark edilmeden kaldı — ta ki yapay zeka destekli kod analizi onu gün yüzüne çıkarana kadar. CVE-2026-32710 olarak kayıtlara geçen açık, 19 Mart 2026’da kamuoyuna duyuruldu ve yamalar aynı gün yayımlandı. Sunucunuzda MariaDB 11.4.x veya 11.8.x çalışıyorsa ve henüz güncelleme yapmadıysanız, bu hafta öncelik verilmesi gereken açık budur. Açık Tam Olarak Ne Yapıyor? Sorun, sql/json_schema_helper.cc dosyasındaki json_get_normalized_string() fonksiyonunda yatıyor. Fonksiyon, 128 baytlık sabit boyutlu bir heap tamponu ayırıyor; ardından bir JSON dize değerini bu tampona, değerin sığıp sığmadığını kontrol etmeksizin strncpy ile kopyalıyor. Bu sınırı aşan özel hazırlanmış bir JSON şema gönderildiğinde heap taşıyor. ...