om två sårbarheter i systemet för automatisk leverans av uppdateringar för den integrerade utvecklingsmiljön Apache NetBeans, som gör det möjligt att förfalska uppdateringar och nbm-paket som skickas av servern. Problemen fixades tyst i releasen .
(CVE-2019-17560) orsakas av bristande verifiering av SSL-certifikat och värdnamn vid nedladdning av data över HTTPS, vilket gör det möjligt att i smyg förfalska den nedladdade datan. (CVE-2019-17561) är associerad med ofullständig verifiering av en nedladdad uppdatering mot en digital signatur, vilket gör att en angripare kan lägga till ytterligare kod till nbm-filer utan att kompromissa med paketets integritet.
Källa: opennet.ru
