Sysadmin

Mayıs 2026’da IETF, e-posta yöneticilerinin yıllardır beklediği bir adımı attı: RFC 9989, RFC 9990 ve RFC 9991 toplu olarak “DMARCbis” adıyla yayımlandı. Bu üç belge, 2015’ten bu yana DMARC’ın temel kaynağı olan RFC 7489’un yerini alıyor. Önemli değişiklik teknik değil, statü açısından. Orijinal RFC 7489, Bilgilendirici (Informational) bir belge olarak yayımlanmıştı; yani sektörün hâlihazırda ne yaptığını anlatıyordu, zorunluluk getirmiyordu. DMARCbis ise IETF Standartlar Takibi’nde Önerilen Standart (Proposed Standard) olarak geliyor — resmi bir İnternet Standardına giden yolun ilk adımı. Kısaca söylemek gerekirse: DMARC, “endüstrinin güçlü tavsiyesi” olmaktan çıkıp “resmi protokol” statüsüne geçti. ...

Debian veya Ubuntu üzerinde çalışan ve son beş haftadır güncelleme yapılmamış bir Exim sunucunuz varsa, 25 numaralı TCP portuna TLS bağlantısı açabilen herkes — kimlik doğrulaması olmadan, özel bir araç gerekmeksizin, standart SMTP komutlarıyla — sunucunuzu uzaktan istismar edebilir durumda olabilir. CVE-2026-45185, Dead.Letter adıyla anılan bu güvenlik açığı, Exim’in BDAT mesaj ayrıştırma kodundaki bir “use-after-free” hatasıdır. CVSS puanı: 9.8 Kritik. 12 Mayıs 2026’da yayımlanan Exim 4.99.3 sürümüyle giderildi. O tarihten bu yana sürümünüzü kontrol etmediyseniz, şimdi tam zamanı. ...

5 Haziran 2026’da yayımlanan Rspamd 4.1.0, geliştirici ekibinin “tüm kullanıcılara önerilen güncelleme” olarak nitelendirdiği büyük bir sürüm. İçeriğine bakınca bu önerinin abartı olmadığı görülüyor; posta sunucusu işleten herkesin körü körüne geçiş yapmadan önce değişiklik notlarını incelemesi gerekiyor. Güvenlik yamaları Bu sürüm, gelen postayla tetiklenebilen birkaç bellek güvenliği açığını kapatıyor. S/MIME ile yığın tükenmesi (DoS): Derin biçimde iç içe geçmiş application/pkcs7-mime içeren bir ileti, rspamd’ın ayrıştırıcısını max_nested sayacını artırmadan yeniden giriyordu. Sonuç: kötü niyetli bir gönderici, özel hazırlanmış tek bir iletiyle çalışan worker sürecinin yığınını tüketebiliyordu. Düzeltme, S/MIME yeniden girişini mevcut max_nested sınırına bağlıyor. ...

7 Mayıs 2026’da PHP ekibi, desteklenen dört dal için eş zamanlı güvenlik güncellemeleri yayımladı: PHP 8.5.6, 8.4.21, 8.3.31 ve 8.2.31. Her dal “güvenlik güncellemesi” olarak işaretlendiğinde bu, “uygun bir bakım penceresinde hallederim” kategorisine giren bir güncelleme değil demektir. Özellikle PHP-FPM çalıştıran sunucular için bu sürümde giderilen XSS açığı bugün ilgilenmeyi hak ediyor. FPM Durum Sayfasındaki XSS (CVE-2026-6735) CVE-2026-6735, PHP-FPM’nin durum (/status) sayfasından kaynaklanıyor: istek URI’si HTML çıktısına yeterince temizlenmeden yansıtılıyor. CVSS 4.0 puanı 7,3. Saldırgan, FPM durum sayfasına erişimi olan birini özel hazırlanmış bir URL’ye yönlendirirse kurbanın tarayıcısında rastgele JavaScript çalıştırabiliyor; bu da oturum çalma gibi saldırılara kapı aralıyor; özellikle durum sayfası dahili bir izleme panosuna açıksa. ...

MariaDB’nin JSON_SCHEMA_VALID() fonksiyonundaki bir heap buffer overflow açığı, yıllarca fark edilmeden kaldı — ta ki yapay zeka destekli kod analizi onu gün yüzüne çıkarana kadar. CVE-2026-32710 olarak kayıtlara geçen açık, 19 Mart 2026’da kamuoyuna duyuruldu ve yamalar aynı gün yayımlandı. Sunucunuzda MariaDB 11.4.x veya 11.8.x çalışıyorsa ve henüz güncelleme yapmadıysanız, bu hafta öncelik verilmesi gereken açık budur. Açık Tam Olarak Ne Yapıyor? Sorun, sql/json_schema_helper.cc dosyasındaki json_get_normalized_string() fonksiyonunda yatıyor. Fonksiyon, 128 baytlık sabit boyutlu bir heap tamponu ayırıyor; ardından bir JSON dize değerini bu tampona, değerin sığıp sığmadığını kontrol etmeksizin strncpy ile kopyalıyor. Bu sınırı aşan özel hazırlanmış bir JSON şema gönderildiğinde heap taşıyor. ...

4 Mayıs 2026’da Wietse Venema, Postfix’in dört yeni sürümünü aynı anda duyurdu: 3.11.2, 3.10.9, 3.9.10 ve 3.8.16. CVSS puanı düşük diye geçiştirmeyin — bu sürümde 2005’ten beri yamanmamış bir güvenlik açığı kapatılıyor. CVE-2026-43964: Yirmi Yıldır Gizlenen Hata CVE-2026-43964, Postfix’in gelişmiş SMTP durum kodlarını işleyiş biçimindeki bir off-by-one hatasıdır. Bir erişim tablosu, politika sunucusu, DNSBL yanıtı veya milter filtresi, arkasında açıklama metni bulunmayan yalın bir durum kodu döndürdüğünde — örneğin yalnızca 5.7.2 — posta arka plan süreci ayrılan belleğin ötesini okur ve çöker. ...

Bu hafta Apache HTTP Server’in HTTP/2 uygulamasinda ciddi bir bellek bozulmasi acigi kamuoyuyla paylasildi. Teknik ayrintilar yeterince rahatsiz edici: bu satiri okumayi birakip once Apache surumuzu kontrol etmenizi oneririm. Kontrol ettiniz mi? Guzel. O zaman konuya girebiliriz. Acik Nedir? CVE-2026-23918, Apache httpd 2.4.66’nin mod_http2 modulunde, ozellikle akim temizleme (stream cleanup) kodunda bulunan bir “double free” (cift-serbest birakma) acikidir. Cift-serbest birakma, programin ayni bellek blogunu iki kez serbest birakmayi calistigi durumda ortaya cikar — ayirici (allocator) ic durumunu bozar, tipik olarak cokmelere, bazen daha kotusuyle sonuclanir. ...