Guvenlik

Debian veya Ubuntu üzerinde çalışan ve son beş haftadır güncelleme yapılmamış bir Exim sunucunuz varsa, 25 numaralı TCP portuna TLS bağlantısı açabilen herkes — kimlik doğrulaması olmadan, özel bir araç gerekmeksizin, standart SMTP komutlarıyla — sunucunuzu uzaktan istismar edebilir durumda olabilir. CVE-2026-45185, Dead.Letter adıyla anılan bu güvenlik açığı, Exim’in BDAT mesaj ayrıştırma kodundaki bir “use-after-free” hatasıdır. CVSS puanı: 9.8 Kritik. 12 Mayıs 2026’da yayımlanan Exim 4.99.3 sürümüyle giderildi. O tarihten bu yana sürümünüzü kontrol etmediyseniz, şimdi tam zamanı. ...

Bu hafta Apache HTTP Server’in HTTP/2 uygulamasinda ciddi bir bellek bozulmasi acigi kamuoyuyla paylasildi. Teknik ayrintilar yeterince rahatsiz edici: bu satiri okumayi birakip once Apache surumuzu kontrol etmenizi oneririm. Kontrol ettiniz mi? Guzel. O zaman konuya girebiliriz. Acik Nedir? CVE-2026-23918, Apache httpd 2.4.66’nin mod_http2 modulunde, ozellikle akim temizleme (stream cleanup) kodunda bulunan bir “double free” (cift-serbest birakma) acikidir. Cift-serbest birakma, programin ayni bellek blogunu iki kez serbest birakmayi calistigi durumda ortaya cikar — ayirici (allocator) ic durumunu bozar, tipik olarak cokmelere, bazen daha kotusuyle sonuclanir. ...