Dalawang kahinaan sa sistema ng paghahatid ng awtomatikong pag-update para sa Apache NetBeans integrated development environment (IDE) ang natuklasan, na nagpapahintulot sa mga update na naihatid ng server at mga pakete ng NBM na ma-spoof. Ang mga isyu ay tahimik na naayos sa paglabas. .
(CVE-2019-17560) ay sanhi ng kakulangan ng pag-verify ng mga SSL certificate at hostname kapag nagda-download ng data sa pamamagitan ng HTTPS, na ginagawang posible na palihim na palitan ang na-download na data. (CVE-2019-17561) ay nauugnay sa hindi kumpletong pag-verify ng isang na-download na update laban sa isang digital na lagda, na nagbibigay-daan sa isang attacker na magdagdag ng karagdagang code sa mga nbm file nang hindi nakompromiso ang integridad ng package.
Pinagmulan: opennet.ru
