MariaDB’nin JSON_SCHEMA_VALID() fonksiyonundaki bir heap buffer overflow açığı, yıllarca fark edilmeden kaldı — ta ki yapay zeka destekli kod analizi onu gün yüzüne çıkarana kadar. CVE-2026-32710 olarak kayıtlara geçen açık, 19 Mart 2026’da kamuoyuna duyuruldu ve yamalar aynı gün yayımlandı. Sunucunuzda MariaDB 11.4.x veya 11.8.x çalışıyorsa ve henüz güncelleme yapmadıysanız, bu hafta öncelik verilmesi gereken açık budur.
Açık Tam Olarak Ne Yapıyor?
Sorun, sql/json_schema_helper.cc dosyasındaki json_get_normalized_string() fonksiyonunda yatıyor. Fonksiyon, 128 baytlık sabit boyutlu bir heap tamponu ayırıyor; ardından bir JSON dize değerini bu tampona, değerin sığıp sığmadığını kontrol etmeksizin strncpy ile kopyalıyor. Bu sınırı aşan özel hazırlanmış bir JSON şema gönderildiğinde heap taşıyor.
Yalnızca çökme senaryosunda bile üretim ortamı için bu yeterince ciddi bir sorundur. ZeroDay.cloud’un yayımladığı teknik analize göre, kontrollü koşullarda bu taşma iç oturum meta verilerini bozabilmekte; kimliği doğrulanmış bir kullanıcının bağlantısı süper kullanıcı düzeyine yükseltilerek oradan işletim sistemi komutları çalıştırılabilmektedir. Saldırı zinciri, SQL erişimi olan bir kullanıcı kimliği gerektiriyor — dolayısıyla uzaktan kimlik doğrulamasız bir sömürü mümkün değil. Ancak paylaşımlı barındırma ortamlarında pek çok kullanıcının veritabanı düzeyinde kimlik bilgileri bulunduğundan, bu eşik göründüğü kadar yüksek değil.
Düzeltme, strncpy yerine girişi dinamik olarak sığacak biçimde yeniden boyutlandıran dynstr_set() fonksiyonunun kullanılmasından ibaret. Tek satırlık, sıradan bir değişiklik; ama 2000’lerin ortasından bu yana var olan kod tabanlarında daha kaç benzer kalıbın gizlendiğini düşündüren türden.
Yapay Zekanın Rolü
CSO Online’ın haberine göre, bu açık sınıfı — hem MariaDB’de hem de buna eşlik eden bir PostgreSQL açığında — klasik fuzzing ya da elle inceleme yerine yapay zeka destekli kod analizi tarafından tespit edildi. Bu bulgu daha geniş bir örüntüye işaret ediyor: Yapay zeka araçları, insan gözden geçiricilerin yüzüncü benzer fonksiyonun ardından atladığı sınır koşulu hatalarını yakalamakta giderek daha başarılı hale geliyor. Bunun teselli edici mi yoksa ürkütücü mü olduğu, aynı incelemeye tabi tutulmamış eski C kodu birikimi hakkında ne düşündüğünüze bağlı.
Hangi Sürümler Etkileniyor?
CVE-2026-32710, aşağıdaki sürümleri etkiliyor:
- MariaDB 11.4.x — 11.4.10’dan önceki tüm sürümler
- MariaDB 11.8.x — 11.8.6’dan önceki tüm sürümler
Yamalanmış sürümler: 11.4.10, 11.8.6 ve 12.2.2. MariaDB projesi, bu CVE için 10.6 veya 10.11 uzun vadeli destek dallarını etkilenen sürümler arasında listelemiyor; ancak bu dallar da başka güncel yamalar içeriyor (örneğin CVE-2026-21968, 10.11.15 ve 10.6.24’te düzeltildi) ve güncel tutulmalı.
Güncelleme Nasıl Yapılır?
Debian/Ubuntu üzerinde MariaDB deposuyla:
apt update && apt install mariadb-server
mariadb --version
AlmaLinux/Rocky/RHEL üzerinde:
dnf update mariadb-server
mariadb --version
Güncellemeden sonra sürüm bilgisinin 11.4.10, 11.8.6 veya daha yeni bir sürüm gösterdiğini doğrulayın. Yeni ikili dosyanın devreye girmesi için servisin yeniden başlatılması gerekiyor:
systemctl restart mariadb
Yükseltme dışında bilinen bir geçici çözüm yok. Uygulama katmanında JSON şema doğrulamasını devre dışı bırakmak, paylaşımlı ortamlar için pratik bir önlem değil.
kalfaoglu.net Müşterilerine Etkisi
Platformumuz üzerindeki paylaşımlı barındırma planları; WordPress, Joomla, WooCommerce ve benzeri PHP tabanlı uygulamalar için MariaDB kullanıyor. Veritabanı katmanına güvenlik yamalarını planlı bakım pencereleri sırasında uyguluyoruz; dolayısıyla altyapımızda barındırılan hesaplar için herhangi bir işlem yapmanıza gerek yok. Ancak kendi MariaDB kurulumunu yönettiğiniz bir VPS veya dedicated sunucunuz varsa, sürümünüzü hemen kontrol edin; etkilenen bir 11.4.x veya 11.8.x sürümündeyseniz yükseltin.
2024 öncesinde yapılandırılan sunucularda hâlâ yaygın olan 10.x serisindeyseniz, hangi güvenlik danışmalarının dalınıza uygulandığını görmek için MariaDB güvenlik CVE sayfasını inceleyin. Bir ya da iki küçük sürüm geride kalmak, sessiz sedasız birikim gösteren bir risk kalıbıdır.
Asıl çıkarım MariaDB’ye özgü değil: Yapay zeka destekli kod incelemesi ile eski C kod tabanlarının bir araya gelmesi, bu tür sürprizleri bir süre daha üretmeye devam edecek. Mantıklı yanıt ise sıkıcı olan: Paketleri güncel tutun ve ilgili güvenlik duyuru listelerine abone olun; böylece sürprizler olay olmadan önce bildirim olarak gelsin.
Kaynaklar: NVD · ZeroDay.cloud teknik analiz · Security Online · CSO Online · Security Boulevard · SentinelOne CVE DB