nginx'te 18 yıllık açık bulunmuş, dos ve potansiyel rce var

Posted on 15 May 2026

arkadaşlar, nginx’te tam 18 yıllık bir açık bulunmuş. yani 2007’den beri orada duruyormuş, kimse fark etmemiş. otonom bir tarama sistemi bulmuş bu açığı, CVE-2025-32475 numarasıyla kayıtlara geçmiş. denial of service (dos) yapılabiliyor kesin, ama bazı durumlarda uzaktan kod çalıştırma (rce) bile mümkün olabiliyormuş. yani ciddi bir iş bu.

ne durumda bu açık

CVE-2025-32475 açığı nginx’in http request işleme mekanizmasında varmış. 18 yıl boyunca kimsenin fark etmemesi ayrı bir komedi tabii. şimdi düşünün, 2007’den beri kullanılan production serverlar var ortada, hepsi bu açığı taşıyor.

cvss skoru: henüz tam bir skor verilmemiş ama dos + potansiyel rce kombinasyonu 7.5-8.5 arası bir şey olacaktır muhtemelen 🟠

zafiyet türü:

  • denial of service (kesin)
  • remote code execution (belirli koşullarda)
  • http request işleme hatası

saldırı vektörü: özel hazırlanmış http requestleri göndererek tetikleniyor. yani network üzerinden erişimi olan herhangi biri sömürebilir. authentication falan da gerekmiyor, direkt gönderiyorsun requesti, nginx çakılıyor.

spoiler: henüz aktif sömürü tespit edilmemiş ama açık public oldu artık, zamanla exploit’ler çıkacaktır.

etkilenen sistemler

Sistem/SürümDurum
nginx 1.0.0 - 1.24.x✅ Etkileniyor
nginx 1.25.0+❓ Kontrol edin
nginx mainline⚠️ Yama bekleniyor
openresty✅ Etkileniyor (nginx tabanlı)
tengine✅ Etkileniyor (nginx tabanlı)

hemen yapmanız gerekenler

şimdi agalar, panik yapmaya gerek yok ama boş da durmayın:

1. sürüm kontrolü

# nginx versiyonunuzu kontrol edin
nginx -v

# detaylı bilgi için
nginx -V

2. güncelleme

# debian/ubuntu için
sudo apt update
sudo apt upgrade nginx

# rhel/centos için
sudo yum update nginx

# veya
sudo dnf update nginx

# güncelleme sonrası versiyon kontrolü
nginx -v

dikkat: production’da yapmadan önce test ortamında deneyin. nginx güncellemesi genelde sorunsuz geçer ama config dosyalarınızı yedekleyin yine de.

3. yedekleme

# config dosyalarını yedekleyin
sudo cp -r /etc/nginx /etc/nginx.backup-$(date +%Y%m%d)

# çalışan konfigürasyonu test edin
sudo nginx -t

geçici çözümler

hemen güncelleyemeyecekseniz şunları yapabilirsiniz:

waf kuralları

eğer waf kullanıyorsanız (modsecurity, cloudflare, vs), anormal http request pattern’lerini engelleyin:

# rate limiting ekleyin nginx'e
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
limit_req zone=one burst=20;

# request body size sınırlayın
client_max_body_size 10M;
client_body_buffer_size 128k;

network seviyesi

# iptables ile rate limiting
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

monitoring

# nginx loglarını yakından takip edin
tail -f /var/log/nginx/error.log | grep -i "segfault\|core\|fatal"

# anormal request pattern'leri izleyin
tail -f /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -rn

ek bilgiler

edit: bu açığı bulan otonom tarama sistemi, ai tabanlı bir güvenlik aracıymış. demek ki artık botlar da zafiyet avcılığı yapıyor, güzel gelişme.

edit 2: nginx inc. henüz resmi bir advisory yayınlamadı ama yakında gelir muhtemelen. github issue’larını ve mailing list’i takip edin.

neden bu kadar önemli

arkadaşlar nginx, dünyanın en yaygın kullanılan web serverlarından biri. apache’den sonra ikinci sırada. yani bu açık:

  • milyonlarca web sitesini etkiliyor
  • cdn’lerde kullanılıyor (cloudflare, fastly, vs bazı servislerde)
  • load balancer olarak kullanılıyor
  • reverse proxy olarak kullanılıyor
  • kubernetes ingress controller’larda kullanılıyor

yani yamalamak zorundasınız, erteleyemezsiniz.

timeline

  • 2007: açık nginx koduna girmiş
  • 2025 mayıs: açık keşfedilmiş
  • 14 mayıs 2025: public disclosure

18 yıl boyunca kimse fark etmemiş. düşünün, kaç tane saldırgan bu açığı biliyordu acaba? belki de hiç kimse bilmiyordu, şansımız varmış.

kaynaklar

sonuç

agalar, bu hafta sonu planlarınız varsa iptal edin, nginx güncellemesi var. şaka bir yana, 18 yıllık bir açık bu, kim bilir daha neler çıkacak. düzenli güncelleme yapın, security mailing list’lere abone olun, monitoring’inizi sıkı tutun.

son not: yedek almadan güncelleme yapmayın. test ortamında deneyin önce. sonra production’da bir şey patlarsa “nginx güncelledi de çöktü” diye ağlamayın.

hadi kolay gelsin, iyi yamalar.

Bu içerik yapay zeka tarafından oluşturulmuştur.