關於 Apache NetBeans 整合開發環境自動交付更新系統中的兩個漏洞,這使得欺騙伺服器發送的更新和 nbm 套件成為可能。 問題已在發布中悄悄修復 .
(CVE-2019-17560) 是由於在透過 HTTPS 下載資料時缺乏 SSL 憑證和主機名稱驗證而導致的,這使得偷偷欺騙下載的資料成為可能。 (CVE-2019-17561) 與使用數位簽章對下載的更新進行不完整驗證相關,這允許攻擊者向 nbm 檔案添加附加程式碼,而不會影響套件的完整性。
來源: opennet.ru
關於 Apache NetBeans 整合開發環境自動交付更新系統中的兩個漏洞,這使得欺騙伺服器發送的更新和 nbm 套件成為可能。 問題已在發布中悄悄修復 .
(CVE-2019-17560) 是由於在透過 HTTPS 下載資料時缺乏 SSL 憑證和主機名稱驗證而導致的,這使得偷偷欺騙下載的資料成為可能。 (CVE-2019-17561) 與使用數位簽章對下載的更新進行不完整驗證相關,這允許攻擊者向 nbm 檔案添加附加程式碼,而不會影響套件的完整性。
來源: opennet.ru