Güvenlik on kalfaoglu.net

Yapay Zeka Kodu Okuyunca: MariaDB'nin CVE-2026-32710 Açığı ve Yapmanız Gerekenler

Sat, 09 May 2026 00:00:00 +0000

MariaDB’nin JSON_SCHEMA_VALID() fonksiyonundaki bir heap buffer overflow açığı, yıllarca fark edilmeden kaldı — ta ki yapay zeka destekli kod analizi onu gün yüzüne çıkarana kadar. CVE-2026-32710 olarak kayıtlara geçen açık, 19 Mart 2026’da kamuoyuna duyuruldu ve yamalar aynı gün yayımlandı. Sunucunuzda MariaDB 11.4.x veya 11.8.x çalışıyorsa ve henüz güncelleme yapmadıysanız, bu hafta öncelik verilmesi gereken açık budur.

Açık Tam Olarak Ne Yapıyor?

Sorun, sql/json_schema_helper.cc dosyasındaki json_get_normalized_string() fonksiyonunda yatıyor. Fonksiyon, 128 baytlık sabit boyutlu bir heap tamponu ayırıyor; ardından bir JSON dize değerini bu tampona, değerin sığıp sığmadığını kontrol etmeksizin strncpy ile kopyalıyor. Bu sınırı aşan özel hazırlanmış bir JSON şema gönderildiğinde heap taşıyor.

Postfix 3.11.2: 20 Yıllık Tampon Taşması Kapatıldı — Geri Kalan Hataları Yapay Zeka Buldu

Thu, 07 May 2026 00:00:00 +0000

4 Mayıs 2026’da Wietse Venema, Postfix’in dört yeni sürümünü aynı anda duyurdu: 3.11.2, 3.10.9, 3.9.10 ve 3.8.16. CVSS puanı düşük diye geçiştirmeyin — bu sürümde 2005’ten beri yamanmamış bir güvenlik açığı kapatılıyor.

CVE-2026-43964: Yirmi Yıldır Gizlenen Hata

CVE-2026-43964, Postfix’in gelişmiş SMTP durum kodlarını işleyiş biçimindeki bir off-by-one hatasıdır. Bir erişim tablosu, politika sunucusu, DNSBL yanıtı veya milter filtresi, arkasında açıklama metni bulunmayan yalın bir durum kodu döndürdüğünde — örneğin yalnızca 5.7.2 — posta arka plan süreci ayrılan belleğin ötesini okur ve çöker.

CVE-2026-41940: İki Ay Yamalanmadan Kalan cPanel Sıfır Gün Açığı

Mon, 04 May 2026 00:00:00 +0000

28 Nisan 2026’da cPanel, CVE-2026-41940 numaralı açık için acil bir yama yayımladı. CVSS puanı 9.8 olan bu kritik kimlik doğrulama bypass açığının, saldırganlar tarafından yaklaşık 23 Şubat’tan bu yana sessiz sedasız istismar edildiği anlaşıldı. Yani söz konusu açık, internete bakan yaklaşık 1,5 milyon cPanel & WHM kurulumunu iki aya yakın süre etkiledi. CISA, açığı Bilinen İstismar Edilen Güvenlik Açıkları listesine derhal ekledi; bu listenin anlamı basittir: okumayı bırak, yamayı uygula.

Açık Tam Olarak Ne Yapıyor?

Sorun, cPanel & WHM’in oturum açma ve oturum yükleme kodunda yatıyor. Temel sebep ise kötü niyetli bir HTTP Basic Authorization başlığındaki CRLF (\r\n) karakterlerinin temizlenmemesi.

Tek Güncellemede Sekiz Açık: Dovecot Güvenlik Paketi ve Ne Yapmalısınız

Mon, 04 May 2026 00:00:00 +0000

Mart ayının sonunda Dovecot geliştirici ekibi, OXDC-ADV-2026-0001 koduyla bir güvenlik bildirisi yayımladı. Bildiri, kimlik doğrulama öncesi dizin geçişi saldırısından SQL enjeksiyonuna, oradan birden fazla hizmet engelleme vektörüne uzanan sekiz CVE’yi tek pakette topladı. Posta sunucunuzda IMAP hizmetini Dovecot üzerinde çalıştırıyorsanız — ki büyük olasılıkla çalıştırıyorsunuzdur — bu haberi okumaya değer.

Konuyu, kabaca önem sırasına göre ele alalım.

Asıl Tehlikeli Olanlar

CVE-2026-24031 — SQL enjeksiyonuyla kimlik doğrulama atlatma (CVSS 7.7, YÜKSEK)

Bu açık yalnızca Dovecot v2.4/v3.1 sürümlerini etkiliyor; üstelik yalnızca yöneticinin auth_username_chars parametresini boş bıraktığı — yani kullanıcı adı karakter filtrelemesini tamamen kaldırdığı — durumlarda geçerli. Bu yapılandırmada, özel hazırlanmış bir kullanıcı adı kimlik doğrulama SQL sorgusuna sızarak saldırganın herhangi bir kullanıcı adına, parola bilmeksizin oturum açmasına izin veriyor. v2.3.x kullanıyorsanız bu açıktan etkilenmiyorsunuz. v2.4’e geçiş yaptıysanız ve söz konusu parametreyi boşalttıysanız, yamalamayı bekletmeyin.