关于 Apache NetBeans 集成开发环境自动交付更新系统中的两个漏洞,这使得欺骗服务器发送的更新和 nbm 包成为可能。 问题已在发布中悄然修复 .
(CVE-2019-17560) 是由于在通过 HTTPS 下载数据时缺乏 SSL 证书和主机名验证而导致的,这使得偷偷欺骗下载的数据成为可能。 (CVE-2019-17561) 与使用数字签名对下载的更新进行不完整验证相关,这允许攻击者向 nbm 文件添加其他代码,而不会影响包的完整性。
来源: opennet.ru
关于 Apache NetBeans 集成开发环境自动交付更新系统中的两个漏洞,这使得欺骗服务器发送的更新和 nbm 包成为可能。 问题已在发布中悄然修复 .
(CVE-2019-17560) 是由于在通过 HTTPS 下载数据时缺乏 SSL 证书和主机名验证而导致的,这使得偷偷欺骗下载的数据成为可能。 (CVE-2019-17561) 与使用数字签名对下载的更新进行不完整验证相关,这允许攻击者向 nbm 文件添加其他代码,而不会影响包的完整性。
来源: opennet.ru