Apache NetBeans 統合開発環境の更新プログラムの自動配信システムに XNUMX つの脆弱性が存在し、サーバーから送信される更新プログラムや nbm パッケージを偽装することが可能になります。 問題はリリースで密かに修正されました .
(CVE-2019-17560) は、HTTPS 経由でデータをダウンロードする際に SSL 証明書とホスト名の検証が行われていないことが原因で発生し、ダウンロードされたデータを密かに偽装することが可能になります。 (CVE-2019-17561) は、デジタル署名を使用したダウンロードされたアップデートの不完全な検証に関連しており、攻撃者がパッケージの整合性を損なうことなく nbm ファイルにコードを追加できるようになります。
出所: オープンネット.ru