Ranjivosti u mehanizmu automatskog ažuriranja Apache NetBeansa
Podaci otkriveni o dvije ranjivosti u sustavu automatske isporuke ažuriranja za integrirano razvojno okruženje Apache NetBeans, koje omogućuju lažiranje ažuriranja i nbm paketa koje šalje poslužitelj. Problemi su tiho riješeni u izdanju Apache NetBeans 11.3.
Prva ranjivost (CVE-2019-17560) uzrokovan je nedostatkom provjere SSL certifikata i naziva hostova prilikom preuzimanja podataka putem HTTPS-a, što omogućuje potajno lažiranje preuzetih podataka. Druga ranjivost (CVE-2019-17561) povezan je s nepotpunom provjerom preuzetog ažuriranja pomoću digitalnog potpisa, što napadaču omogućuje dodavanje dodatnog koda nbm datotekama bez ugrožavanja integriteta paketa.