Siber Güvenlik

Microsoft’tan Kritik Uyarı: ASP.NET Core Açığı İçin Acil Yamanız Gerek!

teknomers
teknomers

Giriş

Microsoft, ASP.NET Core’da bir güvenlik açığını kapatmak için acil bir güncelleme yayınladı. Bu açığın kötüye kullanılması, saldırganların yetki yükseltmesi ile SYSTEM ayrıcalıklarına erişebilmesine olanak tanıyabilir.

Contents

Saldırı Nasıl Çalışıyor?

Güvenlik açığı, CVE-2026-40372 koduyla izlenmekte ve CVSS puanı 9.1/10.0 olarak değerlendirilmiştir. Microsoft’un açıklamalarına göre, “ASP.NET Core’daki kriptografik imza doğrulama hatalı olduğunda, yetkisiz bir saldırgan bir ağ üzerinden yetki yükseltebilir.” Bu açığın kötüye kullanımı için üç ön koşul bulunmaktadır:

  • Uygulamanın Microsoft.AspNetCore.DataProtection 10.0.6 sürümünü NuGet üzerinden kullanıyor olması (doğrudan veya Microsoft.AspNetCore.DataProtection.StackExchangeRedis gibi bu paketi kullanan bir paket üzerinden).
  • NuGet kopyasının çalıştırma zamanında gerçekten yüklenmiş olması.
  • Uygulamanın Linux, macOS veya başka bir Windows dışındaki işletim sisteminde çalışıyor olması.

Etkilenen Sistemler

Güvenlik açığı, aşağıdaki sürüm aralığında yer alan NuGet paketleri ile etkileşim halindeki sistemleri hedef almaktadır:

  • Microsoft.AspNetCore.DataProtection 10.0.0 – 10.0.6

Microsoft, bu açığı ASP.NET Core sürüm 10.0.7 ile çözmüştür. Açıklamalara göre, bu sürümlerdeki bir regresyon, yönetilen kimlik doğrulama şifreleyicisinin HMAC doğrulama etiketini hatalı olarak hesaplamasına neden olmuştur. Bu, saldırganların DataProtection’ın özgünlük kontrollerini geçen ve kimlik doğrulama çerezleri, sahteciliği önleyici token’lar ve benzeri korunan yükleri çözebilen yükler oluşturmasına olanak tanımaktadır.

Çözüm ve Korunma

Microsoft, bu açığı çözmek için aşağıdaki önlemleri önermektedir:

  • ASP.NET Core uygulamalarını 10.0.7 sürümüne güncelleyin.
  • DataProtection anahtar halkasını döndürün; bu, mevcut token’ların geçerliliğini tartışmasız bir şekilde sona erdirecektir.
  • Hedef sistemlerinizi düzenli bir şekilde inceleyin ve gereksiz portları kapatın.

Sonuç

Bu güvenlik açığı, kritik bir tehdit oluşturuyor. Okuyucularımızın, ilgili yazılımlarını güncelleyerek ve önerilen tedbirleri alarak sistemlerini korumaları önemlidir. Mevcut durumunuzu değerlendirip gerekli adımları atmayı ihmal etmeyin.

NASA bilim insanları, Bennu asteroitinin örneklerini içeren modülün kapağını açmak için dört ay uğraştı. Sonunda başardılar
AMD Ryzen 8000G “Phoenix 2” Masaüstü APU’ları dGPU için PCIe 4.0 x4 ve M.2 SSD’ler için PCIe 4.0 x2 ile Sınırlıdır
Apple, iPhone ve Mac cihazları için acil güvenlik düzeltmesi yayınladı
Bu VC firması, bir sonraki yatırımlarını bulmak için kişilik testleri ve yapay zeka kullanıyor
Kuantum Sonrası Bir Dünya için Kuantum Anahtar Dağıtımı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Musk ve Altman: OpenAI Davası Üzerine Heyecan Verici Tartışma!
Sonraki Makale Danimarka 2028’de İlk SAMP/T NG Hava Savunma Sistemini Alacak!

Sanal Medya

Son Eklenenler

Reid Hoffman Microsoft’un Yönetim Kurulu’ndan Ayrılıyor: Yeni Bir Girişim İçin Hazırlıkta
Genel
Final Fantasy VII Üçlemesi Son Perdeyi Revelasyon ile Açıyor
Liste
Acil! Toshiba ve Muji websitelerinde şüpheli giriş uyarıları ortaya çıktı
Siber Güvenlik
Tatiliniz İçin 13 Çevre Dostu Paketleme İpucu ile Fark Yaratın
Genel
Kurucular VC korku hikayelerini paylaşıyor, bazıları isimleri veriyor
Genel
Control Resonant devam niteliğinde ama aynı zamanda bir başlangıç noktası mı?
Liste