Уязвимости в механизме автообновления Apache NetBeans

Раскрыты сведения о двух уязвимостях в системе автоматической доставки обновлений для интегрированной среды разработки Apache NetBeans, позволяющих подменить отдаваемые сервером обновления и nbm-пакеты. Проблемы без лишней огласки были устранены в выпуске Apache NetBeans 11.3.

Первая уязвимость (CVE-2019-17560) вызвана отсутствием проверки SSL-сертификатов и имени хоста при загрузке данных через HTTPS, что даёт возможность незаметно подменить загружаемые данные. Вторая уязвимость (CVE-2019-17561) связана с неполноценной проверкой загруженного обновления по цифровой подписи, что позволяет атакующему добавить в nbm-файлы дополнительный код без нарушения целостности пакета.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52638