Popüler#YapayZeka#SiberGüvenlik#ChatGPT#OpenAI#Gemini#Apple#iPhone#Android#Samsung#FidyeYazılımı#Veriİhlali#NVIDIA
Zafiyetler & CVEYÜKSEK

HTTP/2 Sunucularında Bellek Tüketimine Yol Açan Yeni Zafiyet Keşfedildi

2 saat önce1 dk okuma2 okunma

HTTP/2 protokolünü kullanan sunucu uygulamalarında, akış kontrolü mekanizmasındaki bir eksiklikten kaynaklanan ciddi bir hizmet dışı bırakma zafiyeti keşfedildi. VU#885548 koduyla takip edilen bu açık, saldırganların sunucunun yanıt verilerini bellekte tutmaya zorlamasıyla sistemin yanıt veremez hale gelmesine veya tamamen çökmesine neden olabiliyor.

Saldırganlar, SETTINGS_INITIAL_WINDOW_SIZE = 0 gibi standart akış kontrol parametrelerini kötüye kullanarak sunucunun dışa aktaracağı verileri durdurabiliyor. Sunucu, yanıt gövdelerini oluşturmaya devam etse de bunları gönderemediği için veriler bellekte birikiyor. Çok sayıda eş zamanlı akış açıldığında, sunucunun bellek kaynakları hızla tükeniyor ve bu durum sistemin kararsızlaşmasına yol açıyor.

Bu zafiyetten etkilenen NetScaler ADC ve NetScaler Gateway kullanıcılarının, 14.1-72.61 veya 13.1-63.18 gibi güncel sürümlere geçiş yapmaları öneriliyor. HTTP Strict Profiles kullanmayan sistemlerde, sadece güncelleme yapmak yeterli olmayıp bu parametrenin manuel olarak yapılandırılması gerekiyor.

Diğer taraftan Apache Traffic Server gibi farklı uygulamalar da benzer riskler nedeniyle güncellemeler yayınladı. CVE-2026-59173 koduyla düzeltilen bu açıkta, eş zamanlı akış limitlerinin daha sıkı denetlenmesi sağlanarak saldırı yüzeyi daraltıldı. Sistem yöneticilerinin, kullandıkları HTTP/2 uygulamalarının güncel sürümlerini kontrol etmeleri ve üreticilerin paylaştığı yapılandırma rehberlerini uygulamaları tavsiye ediliyor.

Kaynak: CERT/CC