https://blog.kalfaoglu.net/tr/tags/mail-sunucu/Recent content in Mail-Sunucu on kalfaoglu.netHugotrFri, 29 May 2026 00:00:00 +0000https://blog.kalfaoglu.net/tr/posts/2026-05-29-dovecot-oxdc-2026-0002-tr/Fri, 29 May 2026 00:00:00 +0000https://blog.kalfaoglu.net/tr/posts/2026-05-29-dovecot-oxdc-2026-0002-tr/<p>Dovecot ekibi, 5 Mayıs 2026 tarihinde <a href="https://seclists.org/fulldisclosure/2026/May/2">OXDC-2026-0002</a> güvenlik duyurusunu yayımladı. Duyuru, <strong>OX Dovecot CE 2.4.4</strong> (ve Pro 3.1.5) sürümlerinde giderilen beş güvenlik açığını kapsıyor. CE 2.4.3 veya önceki bir sürüm çalıştırıyorsanız güncelleme için beklemeniz gereken bir neden yok.</p> <h2 id="açıklamanın-içeriği">Açıklamanın içeriği</h2> <p><strong>CVE-2026-27851 — Değişken genişletme yoluyla SQL/LDAP enjeksiyonu (CVSS 7.4)</strong></p> <p>Beşinin en ciddisi bu. Dovecot&rsquo;ın <code>lib-var-expand</code> modülünde <code>safe</code> filtresi kullanıldığında, aynı karakter dizisi üzerindeki sonraki tüm ardışık işlemler de yanlışlıkla güvenli sayılıyor. Bunun sonucu: saldırgan tarafından kontrol edilen veriler, kimlik doğrulamada kullanılan SQL veya LDAP sorgularına kaçış yapılmadan yazılabiliyor. Henüz kamuya açık bir istismar kodu yok, ancak ağ üzerinden, kimlik doğrulama gerektirmeksizin tetiklenebilen bir CVSS 7.4&rsquo;ü bekletmek pek akıllıca değil. Hemen yükseltemiyorsanız geçici çözüm, yapılandırmanızda <code>safe</code> filtresini kullanmaktan kaçınmak.</p>