E-Posta on kalfaoglu.nethttps://blog.kalfaoglu.net/tr/tags/e-posta/Recent content in E-Posta on kalfaoglu.netHugotrThu, 07 May 2026 00:00:00 +0000Postfix 3.11.2: 20 Yıllık Tampon Taşması Kapatıldı — Geri Kalan Hataları Yapay Zeka Bulduhttps://blog.kalfaoglu.net/tr/posts/2026-05-07-postfix-3112-cve-2026-43964-tr/Thu, 07 May 2026 00:00:00 +0000https://blog.kalfaoglu.net/tr/posts/2026-05-07-postfix-3112-cve-2026-43964-tr/<p>4 Mayıs 2026&rsquo;da Wietse Venema, Postfix&rsquo;in dört yeni sürümünü aynı anda duyurdu: 3.11.2, 3.10.9, 3.9.10 ve 3.8.16. CVSS puanı düşük diye geçiştirmeyin — bu sürümde 2005&rsquo;ten beri yamanmamış bir güvenlik açığı kapatılıyor.</p> <h2 id="cve-2026-43964-yirmi-yıldır-gizlenen-hata">CVE-2026-43964: Yirmi Yıldır Gizlenen Hata</h2> <p><a href="https://cve.threatint.eu/CVE/CVE-2026-43964">CVE-2026-43964</a>, Postfix&rsquo;in gelişmiş SMTP durum kodlarını işleyiş biçimindeki bir off-by-one hatasıdır. Bir erişim tablosu, politika sunucusu, DNSBL yanıtı veya milter filtresi, arkasında açıklama metni bulunmayan yalın bir durum kodu döndürdüğünde — örneğin yalnızca <code>5.7.2</code> — posta arka plan süreci ayrılan belleğin ötesini okur ve çöker.</p>Tek Güncellemede Sekiz Açık: Dovecot Güvenlik Paketi ve Ne Yapmalısınızhttps://blog.kalfaoglu.net/tr/posts/2026-05-04-dovecot-security-advisory-tr/Mon, 04 May 2026 00:00:00 +0000https://blog.kalfaoglu.net/tr/posts/2026-05-04-dovecot-security-advisory-tr/<p>Mart ayının sonunda Dovecot geliştirici ekibi, <a href="https://seclists.org/fulldisclosure/2026/Mar/13">OXDC-ADV-2026-0001</a> koduyla bir güvenlik bildirisi yayımladı. Bildiri, kimlik doğrulama öncesi dizin geçişi saldırısından SQL enjeksiyonuna, oradan birden fazla hizmet engelleme vektörüne uzanan sekiz CVE&rsquo;yi tek pakette topladı. Posta sunucunuzda IMAP hizmetini Dovecot üzerinde çalıştırıyorsanız — ki büyük olasılıkla çalıştırıyorsunuzdur — bu haberi okumaya değer.</p> <p>Konuyu, kabaca önem sırasına göre ele alalım.</p> <h2 id="asıl-tehlikeli-olanlar">Asıl Tehlikeli Olanlar</h2> <p><strong>CVE-2026-24031 — SQL enjeksiyonuyla kimlik doğrulama atlatma (CVSS 7.7, YÜKSEK)</strong></p> <p>Bu açık yalnızca Dovecot v2.4/v3.1 sürümlerini etkiliyor; üstelik yalnızca yöneticinin <code>auth_username_chars</code> parametresini boş bıraktığı — yani kullanıcı adı karakter filtrelemesini tamamen kaldırdığı — durumlarda geçerli. Bu yapılandırmada, özel hazırlanmış bir kullanıcı adı kimlik doğrulama SQL sorgusuna sızarak saldırganın herhangi bir kullanıcı adına, parola bilmeksizin oturum açmasına izin veriyor. v2.3.x kullanıyorsanız bu açıktan etkilenmiyorsunuz. v2.4&rsquo;e geçiş yaptıysanız ve söz konusu parametreyi boşalttıysanız, yamalamayı bekletmeyin.</p>