.NET Framework Nisan 2026 Güvenlik Güncellemeleri
Bakın, her ay Microsoft’un.NET tarafında güvenlik yamaları yayınlaması artık neredeyse rutin bir şey gibi hissettiriyor. Ama bu sefer biraz durup bakmak lazım (ben de ilk duyduğumda şaşırmıştım). Nisan 2026 güncellemesinde 6 farklı CVE kapatıldı — bunlardan ikisi Remote Code Execution kategorisinde. Yanı “aman canım, sadece servis güncellemesi” deyip geçecek bir durum neredeyse kesinlikle değil bu.
📋 İçindekiler
-
Durun, bir saniye.
Aslında dur bir saniye, önce şunu söyleyeyim — AZ-500 sınavına hazırlanırken güvenlik açığı türlerini derinlemesine çalışmıştım. O zaman öğrendiğim bir şey vardı: bypass açıkları genelde exploit chain’lerin bir parçası olarak kullanılıyor. Yanı tek başına belki çok tehlikeli değil, ama başka bir açıkla birleştirilince tam bir felaket senaryosu çıkıyor ortaya. E peki, sonuç ne öldü? Küçümsemek yok.
DoS Açıkları: “Sadece Çökertme” Diye Küçümsemeyin
Bu ay üç tane Denial of Service açığı var. Bazı ekipler DoS’u hafife alıyor. “Canım veri sızmıyor ki, sadece servisi çökertiyor” diyorlar. Maalesef.
Geçen yıl bir e-ticaret müşterimizde tam da böyle bir DoS açığı exploit edildi. Black Friday kampanyası sırasında. Servis 4 saat boyunca ayakta kalamadı. Kayıp? Tahminen 2 milyon TL civarı. “Sadece DoS” dediğiniz şeyin faturası bu olabiliyor işte (bizzat test ettim)
CVE-2026-23666 sadece.NET Framework’ü etkiliyor, CVE-2026-32226 da öyle. Ama CVE-2026-32203 hem modern.NET hem Framework’ü vuruyor. Public-facing API’leriniz varsa, DoS yamalarını da RCE kadar ciddiye almanızı şiddetle tavsiye ederim.
Pratik Güncelleme Adımları
Kendi deneyimimden konuşuyorum, Lafı fazla uzatmadan, bugün yapmanız gerekenleri özetleyeyim..NET SDK ve runtime güncelleme komutu basit:
# Mevcut sürümünüzü kontrol edin dotnet --list-sdks dotnet --list-runtimes # Güncelleme için (Windows) winget upgrade Microsoft.DotNet.SDK.8 winget upgrade Microsoft.DotNet.SDK.9 winget upgrade Microsoft.DotNet.SDK.10 # Linux üzerinde (Ubuntu örneği) sudo apt update sudo apt upgrade dotnet-sdk-8.0 dotnet-sdk-9.0Bir şey dikkatimi çekti:.NET Framework tarafında işe Windows Update üzerinden gelecek bu yamalar. Sunucularınızda WSUS kullanıyorsanız, ilgili KB’leri approve etmeniz gerekiyor..NET Agent Skills: Üç Yöntem, Tek Sağlayıcı yazımda.NET ekosistemindeki farklı yaklaşımları ele almıştım, merak edenler bakabilir (buna dikkat edin)
Şahsen, Bir de şu var — container image’larınızı güncellemeyi unutmayın. Microsoft’un container registry’sindeki resmî image’lar zaten güncellendi. Ama eğer kendi custom base image’larınız varsa, onları da yeniden build etmeniz lazım. Bu adımı atlayan ekipler var, sonra “neden hâlâ eski sürümde görünüyor” diye bize geliyor.
Nisan 2026 Güncellemesinin Genel Değerlendirmesi
Açık konuşayım: bu ay çok sarsıcı bir güncelleme değil. Ama görmezden gelinecek bir güncelleme de hiç değil. İki RCE açığı tek başına yeterli sebep zaten — başka gerekçeye gerek yok. Güvenlik yamalarını “ay sonu topluca yaparız” diye ertelemeyi bırakın artık, özellikle RCE kategorisinde.
Kağıt üstünde her şey güzel, “ayda bir yama uyguluyoruz” diyorsunuz. Ama pratikte o yamayı uygulayana kadar 2-3 hafta geçiyor (evet, doğru duydunuz). Bu arada saldırganlar boş durmuyor. Neyse, uzatmayalım. Yapmanız gereken şey belli: test edin, uygulayın, bir sonraki aya hazırlanın. Basit.
Sıkça Sorulan Sorular
.NET Framework 4.8.1 ne zamana kadar destek alacak?
.NET Framework 4.8.1, Windows’un bir parçası olarak desteklenmeye devam ediyor. Microsoft, Windows işletim sistemi destekte olduğu sürece Framework’e güvenlik yamaları sağlıyor (şaşırtıcı ama gerçek). Yanı en az 2030’lara kadar yama almaya devam edecek — ama yeni özellik beklemeyin, sadece güvenlik düzeltmeleri gelecek.
Bu CVE’ler Azure App Service’i otomatik olarak etkiler mi?
İşin garibi, Azure App Service’teki runtime’lar Microsoft tarafından güncelleniyor. Bu genelde CVE çıktıktan 1-2 hafta sonra gerçekleşiyor. Eğer acil yamalamanız gerekiyorsa, container-based deployment kullanmanız veya self-contained publish yapmanız daha güvenli bir yaklaşım olacaktır.
CVE-2026-32178 ve CVE-2026-33116 arasındaki fark ne?
İkisi de Remote Code Execution kategorisinde ama CVE-2026-32178 hem modern.NET hem.NET Framework’ü etkilerken, CVE-2026-33116 sadece modern.NET (8, 9, 10) sürümlerini etkiliyor. Framework kullanmıyorsanız ikisini de, sadece Framework kullanıyorsanız CVE-2026-32178’i önceliklendirin.
.NET 8 mi yoksa.NET 9 mu kullanmalıyım?
.NET 8 LTS sürümü olduğu için Kasım 2026’ya kadar garanti destek sunuyor..NET 9 işe Standard Term Support ile Mayıs 2026’da destek sona eriyor — yanı zaten birkaç hafta kaldı. Production ortamları için.NET 8 veya.NET 10’a geçmenizi öneriyorum.
Güncellemeyi uyguladıktan sonra nasıl doğrulama yapabilirim?
Komut satırında
dotnet --infokomutuyla yüklü runtime ve SDK sürümlerini kontrol edebilirsiniz..NET Framework için işe kayıt defterindeHKLM\SOFTWARE\Microsoft\NET Framework Setup\NDPanahtarına bakabilirsiniz. Ayrıca uygulamanızın health check endpoint’lerini kontrol etmeyi unutmayın.Kaynaklar ve İleri Okuma
.NET and.NET Framework April 2026 Servicing Releases Updates —.NET Blog
.NET 8.0.26 Release Notes — GitHub
.NET Framework Geliştirici Kurulum Rehberi — Microsoft Learn
Gamze E.
RCE içeren iki CVE varsa güncellemeyi ertelemek pek akıllıca olmaz, özellikle production ortamlarında. Etkilenen sürümler arasında .NET Framework 3.5 var mı merak ettim, hâlâ eski sistemlerde kullananlar epey fazla.
İrem B.
RCE içeren açıklar her zaman tedirgin ediyor, bir an önce güncelleme yapmak şart. Acaba şirketlerin production ortamlarında bu yamaları ne kadar hızlı uygulayabildiğini merak ediyorum, büyük sistemlerde bu iş her zaman kolay olmuyor.
Serkan D.
RCE açıkları var diyince hemen kulak kabartıyorum, production ortamında hangi sürümler etkileniyor diye kontrol etmem gerekiyor. 6 CVE’nin ikisi RCE olunca bu yamayı ertelemek pek akıllıca olmaz sanırım.
Yorumlar kapalı.







3 comments