Siber Güvenlik

Microsoft’tan Kritik Uyarı: ASP.NET Core Açığı İçin Acil Yamanız Gerek!

teknomers
teknomers

Giriş

Microsoft, ASP.NET Core’da bir güvenlik açığını kapatmak için acil bir güncelleme yayınladı. Bu açığın kötüye kullanılması, saldırganların yetki yükseltmesi ile SYSTEM ayrıcalıklarına erişebilmesine olanak tanıyabilir.

Contents

Saldırı Nasıl Çalışıyor?

Güvenlik açığı, CVE-2026-40372 koduyla izlenmekte ve CVSS puanı 9.1/10.0 olarak değerlendirilmiştir. Microsoft’un açıklamalarına göre, “ASP.NET Core’daki kriptografik imza doğrulama hatalı olduğunda, yetkisiz bir saldırgan bir ağ üzerinden yetki yükseltebilir.” Bu açığın kötüye kullanımı için üç ön koşul bulunmaktadır:

  • Uygulamanın Microsoft.AspNetCore.DataProtection 10.0.6 sürümünü NuGet üzerinden kullanıyor olması (doğrudan veya Microsoft.AspNetCore.DataProtection.StackExchangeRedis gibi bu paketi kullanan bir paket üzerinden).
  • NuGet kopyasının çalıştırma zamanında gerçekten yüklenmiş olması.
  • Uygulamanın Linux, macOS veya başka bir Windows dışındaki işletim sisteminde çalışıyor olması.

Etkilenen Sistemler

Güvenlik açığı, aşağıdaki sürüm aralığında yer alan NuGet paketleri ile etkileşim halindeki sistemleri hedef almaktadır:

  • Microsoft.AspNetCore.DataProtection 10.0.0 – 10.0.6

Microsoft, bu açığı ASP.NET Core sürüm 10.0.7 ile çözmüştür. Açıklamalara göre, bu sürümlerdeki bir regresyon, yönetilen kimlik doğrulama şifreleyicisinin HMAC doğrulama etiketini hatalı olarak hesaplamasına neden olmuştur. Bu, saldırganların DataProtection’ın özgünlük kontrollerini geçen ve kimlik doğrulama çerezleri, sahteciliği önleyici token’lar ve benzeri korunan yükleri çözebilen yükler oluşturmasına olanak tanımaktadır.

Çözüm ve Korunma

Microsoft, bu açığı çözmek için aşağıdaki önlemleri önermektedir:

  • ASP.NET Core uygulamalarını 10.0.7 sürümüne güncelleyin.
  • DataProtection anahtar halkasını döndürün; bu, mevcut token’ların geçerliliğini tartışmasız bir şekilde sona erdirecektir.
  • Hedef sistemlerinizi düzenli bir şekilde inceleyin ve gereksiz portları kapatın.

Sonuç

Bu güvenlik açığı, kritik bir tehdit oluşturuyor. Okuyucularımızın, ilgili yazılımlarını güncelleyerek ve önerilen tedbirleri alarak sistemlerini korumaları önemlidir. Mevcut durumunuzu değerlendirip gerekli adımları atmayı ihmal etmeyin.

Proton, gizliliği önemseyen şifreli AI asistanı Lumo’yu tanıttı.
Bir sonraki bilgisayar farenizde aromaterapi yağları için bir koku bölmesi olabilir – ve bu Asus fikri koklamak için bir şey değildir.
Acil: WhatsApp’ta Yeni AI Özellikleri ve iOS Çoklu Hesap Desteği!
NYT Strands bugün: 10 Ağustos Cumartesi için ipuçları, spangram ve cevaplar
Bu tatil hafta sonu için tespit ettiğimiz 2025 En İyi Başkanlar Günü anlaşmaları
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Musk ve Altman: OpenAI Davası Üzerine Heyecan Verici Tartışma!
Sonraki Makale Danimarka 2028’de İlk SAMP/T NG Hava Savunma Sistemini Alacak!

Sanal Medya

Son Eklenenler

ABD’nin Larval Parazitlerle Mücadele Planı: Daha Fazla Sinek Gerekli!
Genel
2026’nın en ilginç girişim trendi: Birlikte teknoloji devrimi
Yapay Zeka
Google’dan SpaceX’e Ayda 920 Milyon Dolarlık Dev Yatırım
Genel
60 Dakikada Kaybolan Teknoloji Dünyası
Liste
60 Dakikada Kaybolan Teknoloji Trendsleri
Liste
Acer MA200 1TB SSD İncelemesi: Yeterli, asıl olan bu
Donanım