Hosting

Mayıs 2026’da IETF, e-posta yöneticilerinin yıllardır beklediği bir adımı attı: RFC 9989, RFC 9990 ve RFC 9991 toplu olarak “DMARCbis” adıyla yayımlandı. Bu üç belge, 2015’ten bu yana DMARC’ın temel kaynağı olan RFC 7489’un yerini alıyor. Önemli değişiklik teknik değil, statü açısından. Orijinal RFC 7489, Bilgilendirici (Informational) bir belge olarak yayımlanmıştı; yani sektörün hâlihazırda ne yaptığını anlatıyordu, zorunluluk getirmiyordu. DMARCbis ise IETF Standartlar Takibi’nde Önerilen Standart (Proposed Standard) olarak geliyor — resmi bir İnternet Standardına giden yolun ilk adımı. Kısaca söylemek gerekirse: DMARC, “endüstrinin güçlü tavsiyesi” olmaktan çıkıp “resmi protokol” statüsüne geçti. ...

Debian veya Ubuntu üzerinde çalışan ve son beş haftadır güncelleme yapılmamış bir Exim sunucunuz varsa, 25 numaralı TCP portuna TLS bağlantısı açabilen herkes — kimlik doğrulaması olmadan, özel bir araç gerekmeksizin, standart SMTP komutlarıyla — sunucunuzu uzaktan istismar edebilir durumda olabilir. CVE-2026-45185, Dead.Letter adıyla anılan bu güvenlik açığı, Exim’in BDAT mesaj ayrıştırma kodundaki bir “use-after-free” hatasıdır. CVSS puanı: 9.8 Kritik. 12 Mayıs 2026’da yayımlanan Exim 4.99.3 sürümüyle giderildi. O tarihten bu yana sürümünüzü kontrol etmediyseniz, şimdi tam zamanı. ...

4 Haziran 2026’da PHP ekibi iki güncelleme yayımladı: PHP 8.4.22 ve PHP 8.5.7 — ikisi de rutin hata düzeltme sürümleri. Dikkat çeken nokta şu: 8.2 güncellemesi yok, 8.3 güncellemesi yok. Bu bir gözden kaçırma değil; sürüm döngüsünün tasarlandığı gibi işlemesi. Bir PHP dalı aktif desteği bitirince, yalnızca uygun güvenlik açıkları ortaya çıktığında güvenlik yaması alır. Rutin hata düzeltmeleri durur. Haziran bir hata düzeltme ayıydı; 8.2 ve 8.3 bu döngünün dışında kaldı. ...

Apache HTTP Server 2.4.68, 8 Haziran 2026’da yayınlandı — Mayıs ayı başındaki 2.4.67’den sonraki ilk ara sürüm ve projenin kendi indirme sayfasında belirttiği gibi “önceki tüm sürümlere göre tercih edilmesi gereken” sürüm. Kendi LAMP sunucunuzu işletiyorsanız bu hafta yama listenizin başına bunu yazın. Bu sürümde gerçekte ne var httpd.apache.org üzerindeki kamuya açık CVE listesi henüz bu sürümle tam senkronize değil, ancak tek tek açıklamalar oss-security listesine ve dağıtım güvenlik takipçilerine düştü. Özellikle bilinmesi gereken üç açık var. ...

5 Haziran 2026’da yayımlanan Rspamd 4.1.0, geliştirici ekibinin “tüm kullanıcılara önerilen güncelleme” olarak nitelendirdiği büyük bir sürüm. İçeriğine bakınca bu önerinin abartı olmadığı görülüyor; posta sunucusu işleten herkesin körü körüne geçiş yapmadan önce değişiklik notlarını incelemesi gerekiyor. Güvenlik yamaları Bu sürüm, gelen postayla tetiklenebilen birkaç bellek güvenliği açığını kapatıyor. S/MIME ile yığın tükenmesi (DoS): Derin biçimde iç içe geçmiş application/pkcs7-mime içeren bir ileti, rspamd’ın ayrıştırıcısını max_nested sayacını artırmadan yeniden giriyordu. Sonuç: kötü niyetli bir gönderici, özel hazırlanmış tek bir iletiyle çalışan worker sürecinin yığınını tüketebiliyordu. Düzeltme, S/MIME yeniden girişini mevcut max_nested sınırına bağlıyor. ...

3 Haziran 2026’da araştırmacı Quang Luong, “HTTP/2 Bombası” adını verdiği uzaktan servis dışı bırakma açığını yayımladı. Açık, sıradan bir ev internet bağlantısından on gigabayt sunucu belleğini saniyeler içinde tüketebiliyor. Güvenlik açığı aynı gün oss-security listesine de iletildi ve nginx, Apache httpd, Microsoft IIS, Envoy ile Cloudflare Pingora’yı varsayılan HTTP/2 yapılandırmalarında etkiliyor. Apache httpd kolu için CVE-2026-49975 tanımlayıcısı atandı. Saldırı nasıl çalışıyor Açık, her biri yaklaşık on yıldır ayrı ayrı bilinen iki tekniği, bu sunuculara karşı daha önce hiç birleştirilmemiş bir şekilde kullanıyor. ...

MariaDB, CVE-2026-35549 açığını 3 Nisan 2026’da kapattı. Aradan yedi hafta geçti; düzeltilmiş paketler hâlâ RHEL 8, 9 ve 10, Ubuntu LTS ve CentOS 8 depolarına ulaşmadı. Dağıtım paket yöneticisi üzerinden kurulu bir MariaDB çalıştırıyorsanız ve caching_sha2_password kimlik doğrulama eklentisi etkinse, sisteme erişimi olan herhangi bir kullanıcı tek bir büyük paketle veritabanı sunucusunu düşürebilir. Açık Nerede? Sorun, MySQL 8.0’ın varsayılan yaptığı eklentinin MariaDB uyumluluk katmanında yatıyor: caching_sha2_password. Eklenti, bir kimlik doğrulama isteği aldığında sha256_crypt_r fonksiyonunu çağırır. Bu fonksiyon belleği alloca() ile ayırır. malloc()‘tan farklı olarak alloca(), boyut denetimi yapmadan doğrudan yığıt (stack) üzerinden bellek alır. Yeterince büyük bir paket geldiğinde sunucu yığıtın üst sınırını aşar ve süreç anında çöker. ...

WHMCS kullanıyorsanız ve geçen hafta güncelleme yapmadıysanız, bu yazıyı okumayı bırakıp önce güncellemeyi yapın. Tamamlandı mı? O zaman devam edelim. Açık Nedir? 12 Mayıs 2026’da WHMCS, CVE-2026-29204 numaralı bir güvenlik açığını duyurdu. Sorun, clientarea.php dosyasında yer alan eksik sahiplik kontrollerinden kaynaklanıyor. Teknik adıyla bu bir IDOR (Insecure Direct Object Reference / Kullanıcı Denetimli Anahtarla Yetkilendirme Atlatma) açığıdır ve CWE-639 olarak sınıflandırılmıştır. Sorunun özü şu: Müşteri panelinde bir kullanıcı, addonId parametresini içeren bir istek gönderdiğinde WHMCS bu eklentinin gerçekten o hesaba ait olup olmadığını doğrulamıyor. Başka bir kullanıcının addonId değerini tahmin eden ya da ele geçiren biri, o kişinin hizmetlerine doğrudan erişebiliyor. ...

7 Mayıs 2026’da PHP ekibi, desteklenen dört dal için eş zamanlı güvenlik güncellemeleri yayımladı: PHP 8.5.6, 8.4.21, 8.3.31 ve 8.2.31. Her dal “güvenlik güncellemesi” olarak işaretlendiğinde bu, “uygun bir bakım penceresinde hallederim” kategorisine giren bir güncelleme değil demektir. Özellikle PHP-FPM çalıştıran sunucular için bu sürümde giderilen XSS açığı bugün ilgilenmeyi hak ediyor. FPM Durum Sayfasındaki XSS (CVE-2026-6735) CVE-2026-6735, PHP-FPM’nin durum (/status) sayfasından kaynaklanıyor: istek URI’si HTML çıktısına yeterince temizlenmeden yansıtılıyor. CVSS 4.0 puanı 7,3. Saldırgan, FPM durum sayfasına erişimi olan birini özel hazırlanmış bir URL’ye yönlendirirse kurbanın tarayıcısında rastgele JavaScript çalıştırabiliyor; bu da oturum çalma gibi saldırılara kapı aralıyor; özellikle durum sayfası dahili bir izleme panosuna açıksa. ...

MariaDB’nin JSON_SCHEMA_VALID() fonksiyonundaki bir heap buffer overflow açığı, yıllarca fark edilmeden kaldı — ta ki yapay zeka destekli kod analizi onu gün yüzüne çıkarana kadar. CVE-2026-32710 olarak kayıtlara geçen açık, 19 Mart 2026’da kamuoyuna duyuruldu ve yamalar aynı gün yayımlandı. Sunucunuzda MariaDB 11.4.x veya 11.8.x çalışıyorsa ve henüz güncelleme yapmadıysanız, bu hafta öncelik verilmesi gereken açık budur. Açık Tam Olarak Ne Yapıyor? Sorun, sql/json_schema_helper.cc dosyasındaki json_get_normalized_string() fonksiyonunda yatıyor. Fonksiyon, 128 baytlık sabit boyutlu bir heap tamponu ayırıyor; ardından bir JSON dize değerini bu tampona, değerin sığıp sığmadığını kontrol etmeksizin strncpy ile kopyalıyor. Bu sınırı aşan özel hazırlanmış bir JSON şema gönderildiğinde heap taşıyor. ...