Verimliliği ve basitliğiyle geniş çapta tanınan Go programlama dili, yakın zamanda kritik güvenlik güncellemelerinin konusu oldu.
Go ekibi, saldırganların rastgele kod çalıştırmasına ve sonsuz döngüler yoluyla hizmet kesintilerine neden olmasına olanak tanıyan iki önemli güvenlik açığı için yamalar yayınladı.
CVE-2024-24787 ve CVE-2024-24788 olarak tanımlanan bu güvenlik açıkları, Go’nun etkilenen sürümlerini çalıştıran sistemler için ciddi riskler oluşturuyor.
Darwin’de Keyfi Kod Yürütme Güvenlik Açığı (CVE-2024-24787)
Go programlama ortamında, özellikle Darwin işletim sistemlerini etkileyen kritik bir güvenlik açığı keşfedildi.
Ücretsiz Web Semineri: Canlı API Saldırı Simülasyonu
Kuruluşların %94’ü üretim API’lerinde güvenlik sorunları yaşıyor ve beşte biri veri ihlali yaşıyor. Sonuç olarak, API’lere yönelik siber saldırıların oranı 2022’de %35’ten 2023’te %46’ya yükseldi ve bu eğilim artmaya devam ediyor:
Temel Çıkarımlar:
- OWASP API Top 10 güvenlik açığından yararlanma
- API’ye kaba kuvvet ATO (Hesap Devralma) saldırısı
- API’ye yönelik bir DDoS saldırısı
- API saldırılarını önlemek için pozitif güvenlik modeli otomasyonu
API’lerinizi bilgisayar korsanlarından korumaya başlayın
Yerinizi Ayırın
CVE-2024-24787 kapsamında takip edilen bu sorun, CGO içeren Go modüllerinin oluşturulma sürecinde ortaya çıkıyor.
Güvenlik açığı, Apple’ın bağlayıcı sürümünde (ld) kullanılan `#cgo LDFLAGS` yönergesindeki `-lto_library` bayrağının kötüye kullanılmasıyla tetikleniyor.
Bu kusur, bir saldırganın derleme işlemi sırasında kötü amaçlı bir LTO (Bağlantı Süresi Optimizasyonu) kitaplığı yükleyerek rasgele kod yürütmesine olanak tanıyabilir.
Güvenlik açığının ciddiyetini gösteren CVSS puanı 9,8 olarak belirlendi.
DNS Arama İşlevlerinde Sonsuz Döngü (CVE-2024-24788)
İkinci güvenlik açığı olan CVE-2024-24788, Go’nun DNS arama işlevlerini etkiliyor. Özel hazırlanmış bir DNS yanıtı, bu işlevlerin sonsuz bir döngüye girmesine neden olabilir ve bu da potansiyel olarak Hizmet Reddi (DoS) durumuna yol açabilir.
Bu güvenlik açığı öncelikle DNS sorguları için Go’ya dayanan web’e yönelik uygulamaları ve hizmetleri tehdit ediyor; CVSS puanı 7,5, önemli etkisini yansıtıyor.
Acil Güncelleme Çağrısı
Go ekibi, bu güvenlik açıklarını gideren Go 1.22.3 ve 1.21.10 sürümlerini yayınlayarak bu tehditlere hızlı bir şekilde yanıt verdi.
Geliştiricilerin ve sistem yöneticilerinin, sistemlerini olası istismarlardan korumak için Go kurulumlarını derhal güncellemeleri isteniyor.
Güncellemeler, bu güvenlik açıklarından yararlanılmasını engelleyen gerekli düzeltmeleri içerir.
Bu son güvenlik açıkları, yazılım tedarik zincirlerinin ve altyapısının güvenliğinin sağlanmasında karşılaşılan devam eden zorlukların altını çiziyor.
Go’nun çeşitli uygulamalarda kullanımı artmaya devam ettikçe, sıkı güvenlik uygulamalarının ve düzenli güncellemelerin sürdürülmesi giderek daha kritik hale geliyor.
Go kullanıcılarına, bu riskleri azaltmak için en iyi güvenlik uygulamalarını takip etmeleri ve sistemlerini derhal güncellemeleri tavsiye edilir.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide