pri du vundeblecoj en la sistemo de aŭtomata livero de ĝisdatigoj por la Apache NetBeans integra evolua medio, kiuj ebligas falsigi ĝisdatigojn kaj nbm-pakaĵojn senditajn de la servilo. La problemoj estis kviete solvitaj en la eldono .
(CVE-2019-17560) estas kaŭzita de manko de kontrolado de SSL-atestiloj kaj gastigaj nomoj dum elŝutado de datumoj per HTTPS, kio ebligas kaŝe falsigi la elŝutitajn datumojn. (CVE-2019-17561) estas rilata al nekompleta konfirmo de elŝutita ĝisdatigo uzante ciferecan subskribon, kio permesas al atakanto aldoni plian kodon al nbm-dosieroj sen endanĝerigi la integrecon de la pakaĵo.
fonto: opennet.ru