over twee kwetsbaarheden in het systeem voor automatische levering van updates voor de geïntegreerde ontwikkelomgeving van Apache NetBeans, die het mogelijk maken om door de server verzonden updates en nbm-pakketten te vervalsen. De problemen werden stilletjes opgelost in de release .
(CVE-2019-17560) wordt veroorzaakt door een gebrek aan verificatie van SSL-certificaten en hostnamen bij het downloaden van gegevens via HTTPS, waardoor het mogelijk is om de gedownloade gegevens heimelijk te vervalsen. (CVE-2019-17561) wordt geassocieerd met onvolledige verificatie van een gedownloade update met behulp van een digitale handtekening, waardoor een aanvaller extra code aan nbm-bestanden kan toevoegen zonder de integriteit van het pakket in gevaar te brengen.
Bron: opennet.ru