аб двух уразлівасцях у сістэме аўтаматычнай дастаўкі абнаўленняў для інтэграванага асяроддзя распрацоўкі Apache NetBeans, якія дазваляюць падмяніць якія аддаюцца серверам абнаўлення і nbm-пакеты. Праблемы без лішняй агалоскі былі ўхіленыя ў выпуску .
(CVE-2019-17560) выклікана адсутнасцю праверкі SSL-сертыфікатаў і імя хаста пры загрузцы дадзеных праз HTTPS, што дае магчымасць неўзаметку падмяніць загружаныя дадзеныя. (CVE-2019-17561) звязана з непаўнавартаснай праверкай загружанага абнаўлення па лічбавым подпісе, што дазваляе атакаваламу дадаць у nbm-файлы дадатковы код без парушэння цэласнасці пакета.
Крыніца: opennet.ru