ChromaDB’deki Kritik Güvenlik Açığı
Son dönemlerde, ChromaDB projesinde bulunan ve en son Python FastAPI sürümünü etkileyen kritik bir güvenlik açığı, kimliği doğrulanmamış saldırganların açık sunucularda rastgele kod çalıştırmasına izin vermektedir. Bu bulgu, CVE-2026-45829 kodu ile takip edilmektedir ve keşfi HiddenLayer şirketi tarafından yapılmıştır.
ChromaDB Nedir?
ChromaDB, açık kaynak bir vektör veritabanı ve ajans yapay zeka (AI) uygulamaları için geri yükleme arka planda kullanılan bir sistemdir. Büyük dil modeli (LLM) çıkarsaması sırasında anlamsal olarak ilgili belgeleri almayı sağlar.
Saldırı Nasıl Çalışıyor?
Aşağıdaki noktalar, bu güvenlik açığının nasıl işlediğini özetlemektedir:
- API Sunucu Mantığı: Açık olan Python API sunucu kod tabanında zafiyet bulunmaktadır.
- Yetkilendirme Kontrolü: Saldırganlar, kimlik doğrulama kontrolü yapılmadan önce model ayarlarını gömme şansına sahiptir.
- Kötü Amaçlı Model Yükleme: Saldırgan, ChromaDB’yi kötü amaçlı bir modeli yüklemeye zorlayabilir ve bunu yerel olarak çalıştırabilir.
HiddenLayer’ın açıklamasına göre, “Kimlik doğrulama eksik değil; sadece yanlış yerde.” Bu durum, modelin zaten alınıp çalıştırılmadan güvenlik denetiminin gerçekleştirilmesini engellemektedir.
Etkilenen Sistemler
Güvenlik açığı, ChromaDB 1.0.0 sürümünde tanıtılmış ve 1.5.8 sürümünde yamalanmamıştır. Geçtiğimiz iki hafta içinde 1.5.9 sürümü yayınlanmış, ancak güvenlik sorunlarının çözüp çözmediği net olarak bilinmemektedir. Şu anda, internete açık olan ChromaDB örneklerinin yaklaşık %73’ünün zayıf bir sürüm çalıştırdığı belirtilmektedir.
Çözüm ve Korunma
Etkilenen kullanıcılar için önerilen önlemler şunlardır:
- Rust Ön Ucu Kullanımı: Eğer mümkünse, Rust ön ucunu kullanarak dağıtım yapın.
- Python Sunucusu İfşası: Python sunucusunu halka açık olarak ifşa etmekten kaçının.
- Ağ Erişimini Sınırlama: ChromaDB API portuna olan ağ erişimini kısıtlayın.
- Model Tarama: Kullanmadan önce ML model varlıklarını tarayın; ‘trust_remote_code’ ile kamu modellerini yüklemek, güvensiz kod çalıştırmak anlamına gelir.
Sonuç
Kullanıcıların en kısa sürede CVE-2026-45829 ile ilgili güncellemeleri takip etmeleri ve gerektiğinde sistemlerini koruma altına almaları önemlidir. Python sunucularının kamusal erişimini sınırlamak ve güvenli dağıtım yöntemlerini benimsemek, sistem güvenliğini artırmak için kritik öneme sahiptir.
