4 Mayıs 2026’da Wietse Venema, Postfix’in dört yeni sürümünü aynı anda duyurdu: 3.11.2, 3.10.9, 3.9.10 ve 3.8.16. CVSS puanı düşük diye geçiştirmeyin — bu sürümde 2005’ten beri yamanmamış bir güvenlik açığı kapatılıyor.
CVE-2026-43964: Yirmi Yıldır Gizlenen Hata
CVE-2026-43964, Postfix’in gelişmiş SMTP durum kodlarını işleyiş biçimindeki bir off-by-one hatasıdır. Bir erişim tablosu, politika sunucusu, DNSBL yanıtı veya milter filtresi, arkasında açıklama metni bulunmayan yalın bir durum kodu döndürdüğünde — örneğin yalnızca 5.7.2 — posta arka plan süreci ayrılan belleğin ötesini okur ve çöker.
CVSS 3.7 (Düşük) olarak derecelendirilmiş. Teknik olarak doğru: saldırı için ağ erişimi ve yüksek karmaşıklık gerekiyor; etki yalnızca erişilebilirlikle sınırlı. Pratiğe çevirince şu anlama geliyor: çöken süreç posta kuyruğunu durdurur, sunucu yeniden başlatılana kadar e-postalar askıda kalır. Hosting ortamında bunu “düşük ciddiyet” diye geçiştirmek zor.
Bu hata ilk kez Postfix 2.3’te, Mart 2005’te ortaya çıktı. O tarihten bu yana geçen yirmi yılda hiçbir sürümde yamanmadan geldi. Düzeltme, dsn_util.c dosyasında tek satırlık bir değişiklik. Etkilenen tüm aktif dallar yamayı aldı: 3.8.16, 3.9.10, 3.10.9 ve 3.11.2.
Diğer Düzeltmeler
Sürüm, CVE dışında birkaç hatayı daha kapatıyor. Postfix 3.11 dalında proxymap arka plan süreci, bir istek protokol hatasının ardından başlatılmamış bir işaretçiyi kullanıyordu. Bu servis doğrudan yerel veya uzak kullanıcılara açık değil, ama kapatılması yine de doğruydu. Postfix 3.10 dalında ise RFC 2047 gönderen adı kodlayıcısı, main.cf dosyasında aşırı uzun bir full_name_encoding_charset değeri ayarlandığında sonsuz döngüye girebiliyordu.
Sürüm notlarında göze çarpan bir ayrıntı daha var: birden fazla hata için “Claude Opus 4.6 tarafından bulundu” ibaresi geçiyor. Bunlar arasında fork() başarısızlığının ardından oluşan dosya tanımlayıcı sızıntısı, bellek yetersizliği koşullarında denetlenmemiş null işaretçi sonuçları, tamsayı taşması korumalarındaki boşluklar ve birden fazla kaynak dosyasındaki hatalı günlükleme var. Yapay zeka destekli kod denetimi yıllardır gündemde; bu sürümle birlikte sessiz sedasız bir üretim sürüm notuna girmiş oldu.
kalfaoglu.net Müşterileri İçin Ne Anlam İfade Ediyor?
Hosting hizmetimizden e-posta kullananlar için: sunucu altyapısındaki Postfix güncellemeleri tarafımızdan takip edilmekte ve uygulanmaktadır. Bu sürüm bir sonraki yama penceresine alındı.
Kendi VPS veya özel sunucunuzda Postfix çalıştırıyorsanız, önce kurulu sürümü kontrol edin:
postconf mail_version
Ardından aşağıdaki tabloyla karşılaştırın. Geride kaldıysanız güncelleyin. Büyük Linux dağıtımlarının çoğunda sürüm yayınlanmasının ardından birkaç gün içinde paket hazır olur. Dağıtımınız gecikmeli kalıyorsa kaynak kod postfix.org adresinde mevcut.
DNSBL kullananlar için özellikle not düşmek gerekiyor: rbl_reply_maps ile özel ret mesajı şablonları oluşturduysanız veya varsayılan $rbl_code $rbl_text yapılandırmasını kullanıyorsanız, CVE-2026-43964’ün tetiklenme yolundasınız demektir.
Yamalı Sürüm Referansı
| Dal | Güvenli Sürüm |
|---|---|
| 3.11 | 3.11.2 |
| 3.10 | 3.10.9 |
| 3.9 | 3.9.10 |
| 3.8 | 3.8.16 |
| < 3.8 | Bağımsız yama dosyası sürüm duyurusunda mevcut |
Postfix sürümünüz 3.8 öncesine dayanıyorsa — nadir ama görülüyor — Venema, sürüm duyurusunun sonuna bağımsız bir yama dosyası eklemiş.