حول ثغرتين أمنيتين في نظام التسليم التلقائي للتحديثات الخاصة ببيئة التطوير المتكاملة Apache NetBeans، والتي تتيح إمكانية انتحال التحديثات وحزم nbm التي يرسلها الخادم. تم إصلاح المشاكل بهدوء في الإصدار .
(CVE-2019-17560) ناتج عن عدم التحقق من شهادات SSL وأسماء المضيفين عند تنزيل البيانات عبر HTTPS، مما يجعل من الممكن انتحال البيانات التي تم تنزيلها خلسة. يرتبط (CVE-2019-17561) بالتحقق غير الكامل من التحديث الذي تم تنزيله باستخدام التوقيع الرقمي، والذي يسمح للمهاجم بإضافة تعليمات برمجية إضافية إلى ملفات nbm دون المساس بسلامة الحزمة.
المصدر: opennet.ru