Σχετικά με δύο ευπάθειες στο σύστημα αυτόματης παράδοσης ενημερώσεων για το ενσωματωμένο περιβάλλον ανάπτυξης Apache NetBeans, επιτρέποντας την αντικατάσταση των ενημερώσεων που παραδίδονται από τον διακομιστή και των πακέτων nbm. Τα προβλήματα διορθώθηκαν αθόρυβα στην έκδοση. .
(CVE-2019-17560) προκαλείται από την έλλειψη επαλήθευσης των πιστοποιητικών SSL και του ονόματος κεντρικού υπολογιστή κατά τη λήψη δεδομένων μέσω HTTPS, γεγονός που καθιστά δυνατή την κρυφή αντικατάσταση των ληφθέντων δεδομένων. (CVE-2019-17561) σχετίζεται με την ελλιπή επαλήθευση μιας ληφθείσας ενημέρωσης σε σχέση με μια ψηφιακή υπογραφή, η οποία επιτρέπει σε έναν εισβολέα να προσθέσει επιπλέον κώδικα σε αρχεία nbm χωρίς να θέσει σε κίνδυνο την ακεραιότητα του πακέτου.
Πηγή: opennet.ru
