Ranjivosti u Apache NetBeans mehanizmu automatskog ažuriranja
Informacija otkrivena o dve ranjivosti u sistemu automatske isporuke ažuriranja za integrisano razvojno okruženje Apache NetBeans, koje omogućavaju lažiranje ažuriranja i nbm paketa koje šalje server. Problemi su tiho otklonjeni u izdanju Apache NetBeans 11.3.
Prva ranjivost (CVE-2019-17560) je uzrokovano nedostatkom verifikacije SSL certifikata i imena hostova prilikom preuzimanja podataka preko HTTPS-a, što omogućava prikriveno lažiranje preuzetih podataka. Druga ranjivost (CVE-2019-17561) je povezan sa nekompletnom verifikacijom preuzetog ažuriranja pomoću digitalnog potpisa, što omogućava napadaču da doda dodatni kod u nbm datoteke bez ugrožavanja integriteta paketa.