Akamai, uç sunucularında HTTP İstek Kaçakçılığı saldırılarına izin verebilecek bir güvenlik açığını düzeltti.
Sorun 17 Kasım 2025’te tamamen çözüldü ve şirket, müşterilerin herhangi bir işlem yapmasına gerek olmadığını söyledi. Kusur artık CVE-2025-66373 olarak izleniyor.
| Alan | Detay |
|---|---|
| CVE Kimliği | CVE-2025-66373 |
| Satıcı | Akamai |
| Bileşen | Akamai uç sunucuları |
| Güvenlik Açığı Türü | HTTP İsteği Kaçakçılığı |
Hata, Akamai uç sunucularının parçalı aktarım kodlaması kullanan HTTP isteklerini nasıl işlediğiyle bağlantılıydı.
Bu, bir mesajın gövdesinin tek bir sürekli blok yerine “parçalar” halinde gönderildiği HTTP 1.1’in bir özelliğidir.
Her parça bir parça boyutuyla başlar ve ardından bu boyutun vaat ettiği tam veri miktarı gelir.
Bu durumda Akamai’nin uç sunucuları geçersiz parçalanmış gövdeleri her zaman doğru şekilde işleyemiyordu.
Bir isteğin, takip eden verilerin gerçek boyutuyla eşleşmeyen bir yığın boyutu içerdiğini varsayalım; bazı durumlarda uç sunucu yine de isteği kaynak sunucuya iletebilir.
Ayrıca geçerli bir yığına ait olmayan fazladan baytları da iletir. Saldırgan bu ekstra baytların içine ikinci, kaçak bir HTTP isteğini gizleyebilir.
Bu gizli istek daha sonra kaynak sunucu tarafından Akamai’den gelen standart bir istekmiş gibi işlenebilir.
Bu senaryoya HTTP İstek Kaçakçılığı adı veriliyor. Güvenlik kontrollerini atlamak, önbellekleri zehirlemek veya kullanıcı oturumlarını ele geçirmek gibi ciddi sorunlara yol açabilir.
Ancak bu kusurun gerçek dünyada gerçekten kullanılabilir olup olmadığı, kaynak sunucunun geçersiz isteği nasıl ele aldığına bağlıydı.
Kaynak sunucunun hatalı biçimlendirilmiş verileri reddetmesi veya güvenli bir şekilde göz ardı etmesi durumunda risk çok daha düşük olacaktır. Sonuç olarak, etki farklı müşteri kurulumlarına göre değişiklik gösterebilir.
Akamai, 18 Eylül 2025’te Hata Ödül Programı aracılığıyla yayınlanan bir raporun ardından sorunun farkına vardı.
Şirket, 17 Kasım 2025’te tüm Akamai hizmetlerinde tamamen kullanıma sunulan bir düzeltmeyi araştırıp geliştirdi.
Bu dağıtımla birlikte savunmasız davranış platformdan tamamen kaldırıldı.
Akamai, müşterilerin konfigürasyonlarını değiştirmelerine veya kendi taraflarında herhangi bir yama uygulamasına gerek olmadığını belirtiyor. Tüm azaltma işlemleri Akamai’nin kendi altyapısı içerisinde gerçekleştirildi.
Güvenlik açığı, özel bir CVE girişi kapsamında açıklandı ve Akamai, müşteriler ve güvenlik topluluğu nezdinde şeffaflığı korumak için ayrıntıları yayınladı.
Akamai, sorunu bildirdiği ve soruşturma sırasında şirketle birlikte çalışarak internetin daha güvenli hale getirilmesine yardımcı olduğu için güvenlik araştırmacısı “Jinone (@jinonehk)”ye özellikle teşekkür etti.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.