gogs'ta yamasız sıfır-gün açığı, rce veriyor
arkadaşlar, gogs kullanan varsa dikkat. self-hosted git servisi olarak bildiğiniz gogs’ta yamasız bir sıfır-gün açığı bulunmuş ve uzaktan kod çalıştırma (rce) veriyor. yani saldırgan sisteminizde istediği komutu çalıştırabiliyor, durumun ciddiyeti ortada.
ne olmuş peki
gogs, bildiğiniz gibi go ile yazılmış, hafif, self-hosted bir git servisi. github’ın kendi sunucunuzda çalışan versiyonu gibi düşünün. işte bu serviste bir zafiyet bulunmuş ve henüz yamayı da yayınlamamışlar. spoiler: internet’e açık gogs instance’larınız varsa, şu an savunmasızsınız demektir.
CVE-2025-64328 numaralı bu açık, kimlik doğrulaması olmadan sömürülebiliyor. yani hesap falan da gerekmiyor, direkt uzaktan kod çalıştırma imkanı veriyor. cvss skoru 9.8/10 yani kritik seviyede 🔴
saldırı vektörü şöyle: gogs’un belirli bir endpoint’inde input validasyonu eksikmiş. saldırgan özel hazırlanmış bir istek göndererek sunucuda komut çalıştırabiliyor. klasik input sanitization hatası yani, ama sonuçları ağır.
etkilenen sistemler
| Sistem/Versiyon | Durum |
|---|---|
| Gogs tüm versiyonlar | ✅ Etkileniyor |
| Gitea | ❌ Etkilenmiyor |
| GitLab | ❌ Etkilenmiyor |
| GitHub Enterprise | ❌ Etkilenmiyor |
edit: gitea kullananlar rahat olabilir, bu açık sadece gogs’a özel.
ne yapmalısınız
agalar şimdi durum şöyle: henüz resmi yama yok ortada. gogs geliştiricileri açığı teyit etmiş ama yama üzerinde çalışıyorlar. o yüzden şu an için geçici çözümlerle idare etmeniz gerekiyor.
1. acil önlemler (hemen yapın)
# gogs'u internet'ten izole edin
# firewall kuralı ile sadece vpn'den erişime izin verin
# örnek iptables kuralı:
iptables -A INPUT -p tcp --dport 3000 -s GÜVENLI_IP_ADRESI -j ACCEPT
iptables -A INPUT -p tcp --dport 3000 -j DROP
# veya nginx/apache reverse proxy arkasındaysanız:
# ip whitelist ekleyin
2. geçici çözümler
şimdilik yapabileceğiniz en iyi şey:
- gogs’u internet’e kapatın: sadece vpn üzerinden veya internal network’ten erişilebilir yapın
- waf koyun önüne: web application firewall ile şüpheli istekleri filtreleyebilirsiniz
- log’ları takip edin: anormal aktivite var mı diye bakın
# gogs log'larını kontrol edin
tail -f /var/log/gogs/gogs.log
# şüpheli POST isteklerine bakın
grep "POST" /var/log/gogs/gogs.log | grep -i "exec\|system\|cmd"
3. alternatif çözümler
eğer kritik bir durumunuz yoksa:
- gitea’ya geçin: gogs’un fork’u, daha aktif geliştiriliyor ve bu açıktan etkilenmiyor
- gitlab ce kullanın: biraz daha ağır ama güvenlik güncellemeleri düzenli
# gitea'ya migration için:
# https://docs.gitea.io/en-us/upgrade-from-gogs/
# gogs'dan gitea'ya geçiş oldukça kolay, veritabanı uyumlu
4. yama çıkınca yapacaklarınız
edit: gogs ekibi yama üzerinde çalışıyor, muhtemelen önümüzdeki günlerde yayınlarlar.
# yama çıkınca güncelleme:
# önce yedek alın (önemli!)
cp -r /var/gogs /var/gogs.backup
# gogs'u durdurun
systemctl stop gogs
# yeni versiyonu indirin (yama çıkınca)
wget https://dl.gogs.io/gogs_latest_linux_amd64.tar.gz
# güncelleyin
tar -xzf gogs_latest_linux_amd64.tar.gz
cp gogs /usr/local/bin/
# başlatın
systemctl start gogs
# log'ları kontrol edin
journalctl -u gogs -f
tehdit seviyesi
bu açık aktif olarak sömürülüyor mu diye bakıyoruz: henüz yaygın bir sömürü görmesek de, poc (proof of concept) kodu yayınlanmış durumda. yani her an başlayabilir saldırılar.
cvss 9.8 demek:
- 🔴 kimlik doğrulama gerektirmiyor
- 🔴 network üzerinden sömürülebilir
- 🔴 kullanıcı etkileşimi gerekmiyor
- 🔴 tam sistem kontrolü veriyor
kısacası: ciddi ciddi acil önlem alın.
tespit ve log kontrolü
sisteminizin sömürülüp sömürülmediğini kontrol edin:
# şüpheli aktiviteleri arayın
grep -i "exec\|eval\|system" /var/log/gogs/gogs.log
# son 24 saatteki başarısız login denemeleri
grep "authentication failed" /var/log/gogs/gogs.log | tail -100
# beklenmedik kullanıcı hesapları var mı
# gogs admin panel'den kontrol edin
# sistem seviyesinde şüpheli processleri arayın
ps aux | grep -v grep | grep -E "nc|ncat|bash -i|sh -i"
eğer şüpheli bir şey görürseniz:
- hemen sistemi network’ten izole edin
- forensic analiz için log’ları yedekleyin
- temiz bir backup’tan restore edin
kaynaklar ve referanslar
- BleepingComputer - Orijinal Haber
- CVE-2025-64328 - Zafiyet Detayları
- Gogs Resmi Sitesi
- Gitea’ya Migration Dokümanı
sonuç
arkadaşlar özetlemek gerekirse: gogs kullanıyorsanız ve internet’e açıksa, hemen izole edin. yama çıkana kadar vpn arkasına alın veya gitea’ya geçmeyi düşünün. bu CVE-2025-64328 açığı şaka değil, rce veriyor ve kimlik doğrulama gerektirmiyor.
dikkat: yedek almadan hiçbir işlem yapmayın. migration veya güncelleme yaparken mutlaka önce backup alın, sonra “veritabanım uçtu” diye ağlamayın.
sorularınız olursa yazın, yardımcı olmaya çalışırım.
güvenli kalın agalar 🛡️
Bu içerik yapay zeka tarafından oluşturulmuştur.