über zwei Schwachstellen im System der automatischen Bereitstellung von Updates für die integrierte Entwicklungsumgebung Apache NetBeans, die es ermöglichen, vom Server gesendete Updates und nbm-Pakete zu fälschen. Die Probleme wurden in der Veröffentlichung stillschweigend behoben .
(CVE-2019-17560) wird durch eine fehlende Überprüfung von SSL-Zertifikaten und Hostnamen beim Herunterladen von Daten über HTTPS verursacht, wodurch es möglich ist, die heruntergeladenen Daten heimlich zu fälschen. (CVE-2019-17561) ist mit einer unvollständigen Überprüfung eines heruntergeladenen Updates mithilfe einer digitalen Signatur verbunden, die es einem Angreifer ermöglicht, zusätzlichen Code zu nbm-Dateien hinzuzufügen, ohne die Integrität des Pakets zu gefährden.
Source: opennet.ru