CVE

Debian veya Ubuntu üzerinde çalışan ve son beş haftadır güncelleme yapılmamış bir Exim sunucunuz varsa, 25 numaralı TCP portuna TLS bağlantısı açabilen herkes — kimlik doğrulaması olmadan, özel bir araç gerekmeksizin, standart SMTP komutlarıyla — sunucunuzu uzaktan istismar edebilir durumda olabilir. CVE-2026-45185, Dead.Letter adıyla anılan bu güvenlik açığı, Exim’in BDAT mesaj ayrıştırma kodundaki bir “use-after-free” hatasıdır. CVSS puanı: 9.8 Kritik. 12 Mayıs 2026’da yayımlanan Exim 4.99.3 sürümüyle giderildi. O tarihten bu yana sürümünüzü kontrol etmediyseniz, şimdi tam zamanı. ...

Apache HTTP Server 2.4.68, 8 Haziran 2026’da yayınlandı — Mayıs ayı başındaki 2.4.67’den sonraki ilk ara sürüm ve projenin kendi indirme sayfasında belirttiği gibi “önceki tüm sürümlere göre tercih edilmesi gereken” sürüm. Kendi LAMP sunucunuzu işletiyorsanız bu hafta yama listenizin başına bunu yazın. Bu sürümde gerçekte ne var httpd.apache.org üzerindeki kamuya açık CVE listesi henüz bu sürümle tam senkronize değil, ancak tek tek açıklamalar oss-security listesine ve dağıtım güvenlik takipçilerine düştü. Özellikle bilinmesi gereken üç açık var. ...

3 Haziran 2026’da araştırmacı Quang Luong, “HTTP/2 Bombası” adını verdiği uzaktan servis dışı bırakma açığını yayımladı. Açık, sıradan bir ev internet bağlantısından on gigabayt sunucu belleğini saniyeler içinde tüketebiliyor. Güvenlik açığı aynı gün oss-security listesine de iletildi ve nginx, Apache httpd, Microsoft IIS, Envoy ile Cloudflare Pingora’yı varsayılan HTTP/2 yapılandırmalarında etkiliyor. Apache httpd kolu için CVE-2026-49975 tanımlayıcısı atandı. Saldırı nasıl çalışıyor Açık, her biri yaklaşık on yıldır ayrı ayrı bilinen iki tekniği, bu sunuculara karşı daha önce hiç birleştirilmemiş bir şekilde kullanıyor. ...

Dovecot ekibi, 5 Mayıs 2026 tarihinde OXDC-2026-0002 güvenlik duyurusunu yayımladı. Duyuru, OX Dovecot CE 2.4.4 (ve Pro 3.1.5) sürümlerinde giderilen beş güvenlik açığını kapsıyor. CE 2.4.3 veya önceki bir sürüm çalıştırıyorsanız güncelleme için beklemeniz gereken bir neden yok. Açıklamanın içeriği CVE-2026-27851 — Değişken genişletme yoluyla SQL/LDAP enjeksiyonu (CVSS 7.4) Beşinin en ciddisi bu. Dovecot’ın lib-var-expand modülünde safe filtresi kullanıldığında, aynı karakter dizisi üzerindeki sonraki tüm ardışık işlemler de yanlışlıkla güvenli sayılıyor. Bunun sonucu: saldırgan tarafından kontrol edilen veriler, kimlik doğrulamada kullanılan SQL veya LDAP sorgularına kaçış yapılmadan yazılabiliyor. Henüz kamuya açık bir istismar kodu yok, ancak ağ üzerinden, kimlik doğrulama gerektirmeksizin tetiklenebilen bir CVSS 7.4’ü bekletmek pek akıllıca değil. Hemen yükseltemiyorsanız geçici çözüm, yapılandırmanızda safe filtresini kullanmaktan kaçınmak. ...

MariaDB, CVE-2026-35549 açığını 3 Nisan 2026’da kapattı. Aradan yedi hafta geçti; düzeltilmiş paketler hâlâ RHEL 8, 9 ve 10, Ubuntu LTS ve CentOS 8 depolarına ulaşmadı. Dağıtım paket yöneticisi üzerinden kurulu bir MariaDB çalıştırıyorsanız ve caching_sha2_password kimlik doğrulama eklentisi etkinse, sisteme erişimi olan herhangi bir kullanıcı tek bir büyük paketle veritabanı sunucusunu düşürebilir. Açık Nerede? Sorun, MySQL 8.0’ın varsayılan yaptığı eklentinin MariaDB uyumluluk katmanında yatıyor: caching_sha2_password. Eklenti, bir kimlik doğrulama isteği aldığında sha256_crypt_r fonksiyonunu çağırır. Bu fonksiyon belleği alloca() ile ayırır. malloc()‘tan farklı olarak alloca(), boyut denetimi yapmadan doğrudan yığıt (stack) üzerinden bellek alır. Yeterince büyük bir paket geldiğinde sunucu yığıtın üst sınırını aşar ve süreç anında çöker. ...

WHMCS kullanıyorsanız ve geçen hafta güncelleme yapmadıysanız, bu yazıyı okumayı bırakıp önce güncellemeyi yapın. Tamamlandı mı? O zaman devam edelim. Açık Nedir? 12 Mayıs 2026’da WHMCS, CVE-2026-29204 numaralı bir güvenlik açığını duyurdu. Sorun, clientarea.php dosyasında yer alan eksik sahiplik kontrollerinden kaynaklanıyor. Teknik adıyla bu bir IDOR (Insecure Direct Object Reference / Kullanıcı Denetimli Anahtarla Yetkilendirme Atlatma) açığıdır ve CWE-639 olarak sınıflandırılmıştır. Sorunun özü şu: Müşteri panelinde bir kullanıcı, addonId parametresini içeren bir istek gönderdiğinde WHMCS bu eklentinin gerçekten o hesaba ait olup olmadığını doğrulamıyor. Başka bir kullanıcının addonId değerini tahmin eden ya da ele geçiren biri, o kişinin hizmetlerine doğrudan erişebiliyor. ...

7 Mayıs 2026’da PHP ekibi, desteklenen dört dal için eş zamanlı güvenlik güncellemeleri yayımladı: PHP 8.5.6, 8.4.21, 8.3.31 ve 8.2.31. Her dal “güvenlik güncellemesi” olarak işaretlendiğinde bu, “uygun bir bakım penceresinde hallederim” kategorisine giren bir güncelleme değil demektir. Özellikle PHP-FPM çalıştıran sunucular için bu sürümde giderilen XSS açığı bugün ilgilenmeyi hak ediyor. FPM Durum Sayfasındaki XSS (CVE-2026-6735) CVE-2026-6735, PHP-FPM’nin durum (/status) sayfasından kaynaklanıyor: istek URI’si HTML çıktısına yeterince temizlenmeden yansıtılıyor. CVSS 4.0 puanı 7,3. Saldırgan, FPM durum sayfasına erişimi olan birini özel hazırlanmış bir URL’ye yönlendirirse kurbanın tarayıcısında rastgele JavaScript çalıştırabiliyor; bu da oturum çalma gibi saldırılara kapı aralıyor; özellikle durum sayfası dahili bir izleme panosuna açıksa. ...

MariaDB’nin JSON_SCHEMA_VALID() fonksiyonundaki bir heap buffer overflow açığı, yıllarca fark edilmeden kaldı — ta ki yapay zeka destekli kod analizi onu gün yüzüne çıkarana kadar. CVE-2026-32710 olarak kayıtlara geçen açık, 19 Mart 2026’da kamuoyuna duyuruldu ve yamalar aynı gün yayımlandı. Sunucunuzda MariaDB 11.4.x veya 11.8.x çalışıyorsa ve henüz güncelleme yapmadıysanız, bu hafta öncelik verilmesi gereken açık budur. Açık Tam Olarak Ne Yapıyor? Sorun, sql/json_schema_helper.cc dosyasındaki json_get_normalized_string() fonksiyonunda yatıyor. Fonksiyon, 128 baytlık sabit boyutlu bir heap tamponu ayırıyor; ardından bir JSON dize değerini bu tampona, değerin sığıp sığmadığını kontrol etmeksizin strncpy ile kopyalıyor. Bu sınırı aşan özel hazırlanmış bir JSON şema gönderildiğinde heap taşıyor. ...

4 Mayıs 2026’da Wietse Venema, Postfix’in dört yeni sürümünü aynı anda duyurdu: 3.11.2, 3.10.9, 3.9.10 ve 3.8.16. CVSS puanı düşük diye geçiştirmeyin — bu sürümde 2005’ten beri yamanmamış bir güvenlik açığı kapatılıyor. CVE-2026-43964: Yirmi Yıldır Gizlenen Hata CVE-2026-43964, Postfix’in gelişmiş SMTP durum kodlarını işleyiş biçimindeki bir off-by-one hatasıdır. Bir erişim tablosu, politika sunucusu, DNSBL yanıtı veya milter filtresi, arkasında açıklama metni bulunmayan yalın bir durum kodu döndürdüğünde — örneğin yalnızca 5.7.2 — posta arka plan süreci ayrılan belleğin ötesini okur ve çöker. ...

Bu hafta Apache HTTP Server’in HTTP/2 uygulamasinda ciddi bir bellek bozulmasi acigi kamuoyuyla paylasildi. Teknik ayrintilar yeterince rahatsiz edici: bu satiri okumayi birakip once Apache surumuzu kontrol etmenizi oneririm. Kontrol ettiniz mi? Guzel. O zaman konuya girebiliriz. Acik Nedir? CVE-2026-23918, Apache httpd 2.4.66’nin mod_http2 modulunde, ozellikle akim temizleme (stream cleanup) kodunda bulunan bir “double free” (cift-serbest birakma) acikidir. Cift-serbest birakma, programin ayni bellek blogunu iki kez serbest birakmayi calistigi durumda ortaya cikar — ayirici (allocator) ic durumunu bozar, tipik olarak cokmelere, bazen daha kotusuyle sonuclanir. ...