Ranljivosti v mehanizmu za samodejno posodabljanje Apache NetBeans
Informacije razkrite o dveh ranljivostih v sistemu samodejne dostave posodobitev za integrirano razvojno okolje Apache NetBeans, ki omogočata ponarejanje posodobitev in nbm paketov, ki jih pošilja strežnik. Težave so bile tiho odpravljene v izdaji Apache NetBeans 11.3.
Prva ranljivost (CVE-2019-17560) je posledica pomanjkanja preverjanja potrdil SSL in imen gostiteljev pri prenosu podatkov prek HTTPS, zaradi česar je mogoče prikrito ponarediti prenesene podatke. Druga ranljivost (CVE-2019-17561) je povezana z nepopolnim preverjanjem prenesene posodobitve z uporabo digitalnega podpisa, ki napadalcu omogoča dodajanje dodatne kode datotekam nbm, ne da bi pri tem ogrozil celovitost paketa.