Go programlama dili ekibi, altı yüksek etkili güvenlik açığını gidermek için acil durum noktası sürümleri Go 1.25.6 ve 1.24.12’yi kullanıma sundu.
Bu güncellemeler, geliştiricileri uzaktan saldırılara maruz bırakabilecek hizmet reddi (DoS) vektörlerini, rastgele kod yürütme risklerini ve TLS yanlış kullanımlarını düzeltir.
Sürüm 1.26 olarak markalanmasa da yamalar, özellikle web sunucularında, kripto araçlarında ve derleme sistemlerinde Go’nun standart kitaplığına dayanan projeler için anında yükseltme yapılmasını teşvik ediyor.
Resmi kanallar aracılığıyla duyurulan sürümler, Go’nun katı güvenlik politikasını takip ediyor ve açıklamalar için harici araştırmacılara itibar ediliyor.
İkili indirmeler go.dev/dl adresinde, tam notlar ise go.dev/doc/devel/release#go1.25.6 adresinde mevcuttur. Saldırganlar, ZIP ayrıştırıcılardan TLS anlaşmalarına kadar yama uygulanmamış ortamlarda bunlardan yararlanabilir.
Temel Güvenlik Açıkları ve Suistimal Yolları
Düzeltmeler arasında net/http’nin request.ParseForm’u bellek tükenmesi açısından öne çıkıyor. Aşırı anahtar/değer çiftlerine sahip kötü amaçlı URL kodlu formlar, aşırı büyük tahsisleri tetikleyerek sunucuları yük altında felce uğratır. Benzer şekilde, arşiv/zip’in süper doğrusal dosya adı indekslemesi, hazırlanmış arşivler aracılığıyla DoS’u davet eder.
Daha ciddi olanı ise kod yürütülmesini sağlayan cmd/go kusurlarıdır. CgoPkgConfig, pkg-config’i güvenli olmayan girişlerle çalıştırarak bayrak temizlemeyi atladı. Araç zinciri VCS işleme (Git/Mercurial), kötü amaçlı modül sürümlerinin veya etki alanlarının, @latest olmasa da, özel go get yolları aracılığıyla tetiklenebilir kod yürütmesine veya dosyaların üzerine yazmasına izin verdi.
TLS, bileşik riskler ortaya çıkarır: Config.Clone, otomatik olarak oluşturulan oturum bileti anahtarlarını sızdırarak, yapılandırmalar arasında yetkisiz devam ettirmelere olanak tanır.
Oturum kontrolleri, tam sertifika zincirinin sona erme tarihlerini göz ardı etti ve yanlış şifreleme düzeylerinde işlenen el sıkışma mesajları, enjekte edilen paketlerden bilgi sızıntısı riskiyle karşı karşıya kaldı.
| CVE Kimliği | Bileşen | Açıklama Özeti | Sorun Bağlantısına Git | Muhabir |
|---|---|---|---|---|
| CVE-2025-61728 | arşiv/zip | Süper doğrusal dosya adı indeksleme, kötü amaçlı ZIP’lerde DoS’a neden olur | go.dev/issue/77102 | Jakub Ciolek |
| CVE-2025-61726 | ağ/http | Aşırı biçimli anahtar/değer çiftlerinden dolayı hafızanın tükenmesi | go.dev/issue/77101 | jub0bs |
| CVE-2025-68121 | kripto/tl | Config.Clone oturum anahtarlarını sızdırıyor; tam sertifika zincirinin sona ermesini yok sayar | go.dev/issue/77113 | Coia Prant (rbqvq) |
| CVE-2025-61731 | cmd/git | CgoPkgConfig bayrağının atlanması, rastgele kod yürütülmesine yol açar | go.dev/issue/77100 | RyotaK (GDO Flatt Güvenliği) |
| CVE-2025-68119 | cmd/git | VCS araç zincirinin yanlış yorumlanması, kod yürütme/dosya yazma işlemlerine olanak tanır | go.dev/issue/77099 | bölünmüş çizgi (DEVCORE) |
| CVE-2025-61730 | kripto/tl | Yanlış şifreleme düzeyinde işlenen el sıkışma mesajları (bilgi ifşası) | go.dev/issue/76443 | Coia Prant (rbqvq) |
Yükseltme ve Etki Azaltma Önerileri
Geliştiriciler derhal 1.25.6 veya 1.24.12’ye sabitlemeli ve ikili dosyaları şu adresten yeniden oluşturmalıdır: git checkout go1.25.6. Güvenlik açığı olan modüller için bağımlılıkları tarayın.
Henüz CVSS skorları yayınlanmadı ancak DoS ve RCE potansiyelleri yüksek oranlara sahip. Go’nun proaktif yama uygulaması, 2026’nın tehdit ortamında tedarik zinciri hijyeninin altını çiziyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
