Hosting

MariaDB’nin JSON_SCHEMA_VALID() fonksiyonundaki bir heap buffer overflow açığı, yıllarca fark edilmeden kaldı — ta ki yapay zeka destekli kod analizi onu gün yüzüne çıkarana kadar. CVE-2026-32710 olarak kayıtlara geçen açık, 19 Mart 2026’da kamuoyuna duyuruldu ve yamalar aynı gün yayımlandı. Sunucunuzda MariaDB 11.4.x veya 11.8.x çalışıyorsa ve henüz güncelleme yapmadıysanız, bu hafta öncelik verilmesi gereken açık budur. Açık Tam Olarak Ne Yapıyor? Sorun, sql/json_schema_helper.cc dosyasındaki json_get_normalized_string() fonksiyonunda yatıyor. Fonksiyon, 128 baytlık sabit boyutlu bir heap tamponu ayırıyor; ardından bir JSON dize değerini bu tampona, değerin sığıp sığmadığını kontrol etmeksizin strncpy ile kopyalıyor. Bu sınırı aşan özel hazırlanmış bir JSON şema gönderildiğinde heap taşıyor. ...

4 Mayıs 2026’da Wietse Venema, Postfix’in dört yeni sürümünü aynı anda duyurdu: 3.11.2, 3.10.9, 3.9.10 ve 3.8.16. CVSS puanı düşük diye geçiştirmeyin — bu sürümde 2005’ten beri yamanmamış bir güvenlik açığı kapatılıyor. CVE-2026-43964: Yirmi Yıldır Gizlenen Hata CVE-2026-43964, Postfix’in gelişmiş SMTP durum kodlarını işleyiş biçimindeki bir off-by-one hatasıdır. Bir erişim tablosu, politika sunucusu, DNSBL yanıtı veya milter filtresi, arkasında açıklama metni bulunmayan yalın bir durum kodu döndürdüğünde — örneğin yalnızca 5.7.2 — posta arka plan süreci ayrılan belleğin ötesini okur ve çöker. ...

Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) açıkladığı verilere göre, Türkiye’nin .tr alan adı uzayı bu ay 1,3 milyon aktif kayıt barajını aştı. Daily Sabah da bu haberi Türkiye’nin dijital altyapısındaki büyüme bağlamında aktardı. Yuvarlak rakamlar kendi başına çok anlam taşımaz; ama bu sayı, .tr alanının üç yılda gerçekten başkalaştığının somut göstergesi. Üç Yıl Önce Tablo Nasıldı 14 Eylül 2022’den önce Türkiye’de yaklaşık 460.000 aktif .tr alan adı vardı. 85 milyonluk bir ülke için bu rakam, olması gerekenden çok daha düşüktü; sebebi de belliydi: .tr almak belge gerektiriyordu. com.tr mi istiyorsunuz? Ticaret sicil kaydınızı getirin. org.tr mi? Dernek kuruluş evrakı lütfen. Bu bürokratik engel nedeniyle küçük işletmelerin büyük çoğunluğu .com’u tercih edip geçti. ...

28 Nisan 2026’da cPanel, CVE-2026-41940 numaralı açık için acil bir yama yayımladı. CVSS puanı 9.8 olan bu kritik kimlik doğrulama bypass açığının, saldırganlar tarafından yaklaşık 23 Şubat’tan bu yana sessiz sedasız istismar edildiği anlaşıldı. Yani söz konusu açık, internete bakan yaklaşık 1,5 milyon cPanel & WHM kurulumunu iki aya yakın süre etkiledi. CISA, açığı Bilinen İstismar Edilen Güvenlik Açıkları listesine derhal ekledi; bu listenin anlamı basittir: okumayı bırak, yamayı uygula. Açık Tam Olarak Ne Yapıyor? Sorun, cPanel & WHM’in oturum açma ve oturum yükleme kodunda yatıyor. Temel sebep ise kötü niyetli bir HTTP Basic Authorization başlığındaki CRLF (\r\n) karakterlerinin temizlenmemesi. ...

Mart ayının sonunda Dovecot geliştirici ekibi, OXDC-ADV-2026-0001 koduyla bir güvenlik bildirisi yayımladı. Bildiri, kimlik doğrulama öncesi dizin geçişi saldırısından SQL enjeksiyonuna, oradan birden fazla hizmet engelleme vektörüne uzanan sekiz CVE’yi tek pakette topladı. Posta sunucunuzda IMAP hizmetini Dovecot üzerinde çalıştırıyorsanız — ki büyük olasılıkla çalıştırıyorsunuzdur — bu haberi okumaya değer. Konuyu, kabaca önem sırasına göre ele alalım. Asıl Tehlikeli Olanlar CVE-2026-24031 — SQL enjeksiyonuyla kimlik doğrulama atlatma (CVSS 7.7, YÜKSEK) Bu açık yalnızca Dovecot v2.4/v3.1 sürümlerini etkiliyor; üstelik yalnızca yöneticinin auth_username_chars parametresini boş bıraktığı — yani kullanıcı adı karakter filtrelemesini tamamen kaldırdığı — durumlarda geçerli. Bu yapılandırmada, özel hazırlanmış bir kullanıcı adı kimlik doğrulama SQL sorgusuna sızarak saldırganın herhangi bir kullanıcı adına, parola bilmeksizin oturum açmasına izin veriyor. v2.3.x kullanıyorsanız bu açıktan etkilenmiyorsunuz. v2.4’e geçiş yaptıysanız ve söz konusu parametreyi boşalttıysanız, yamalamayı bekletmeyin. ...