The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в механизме автообновления Apache NetBeans

31.03.2020 09:37

Раскрыты сведения о двух уязвимостях в системе автоматической доставки обновлений для интегрированной среды разработки Apache NetBeans, позволяющих подменить отдаваемые сервером обновления и nbm-пакеты. Проблемы без лишней огласки были устранены в выпуске Apache NetBeans 11.3.

Первая уязвимость (CVE-2019-17560) вызвана отсутствием проверки SSL-сертификатов и имени хоста при загрузке данных через HTTPS, что даёт возможность незаметно подменить загружаемые данные. Вторая уязвимость (CVE-2019-17561) связана с неполноценной проверкой загруженного обновления по цифровой подписи, что позволяет атакующему добавить в nbm-файлы дополнительный код без нарушения целостности пакета.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Выпуск интегрированной среды разработки Apache NetBeans 11.3
  3. OpenNews: Выпуск интегрированной среды разработки Apache NetBeans 11.2
  4. OpenNews: Критическая уязвимость в Apache Struts
  5. OpenNews: Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и получить файлы web-приложений
  6. OpenNews: WordPress и Apache Struts среди web-платформ лидируют по числу уязвимостей с эксплоитами
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/52638-netbeans
Ключевые слова: netbeans, apache, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:09, 31/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    И тем не менее, netbeans одна из лучших IDE
     
     
  • 2.2, Аноним (2), 10:14, 31/03/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    По мнению... Анонимов с опеннета? Есть какие-то исследования на эту тему? Где почитать %%кроме как на опеннете?%%, спасибо.
     
  • 2.3, A.Stahl (ok), 10:14, 31/03/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Да, она без сомнения входит в TOP-10'000.
     
  • 2.4, Р (?), 10:18, 31/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    + Самое лучшее автодополнение для C++ и уверен для остальных языков: очень быстро работает и отрисовка самая красивая
     
     
  • 3.11, soarin (ok), 17:29, 31/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это троллинг такой?
     
     
  • 4.13, Аноним (13), 17:37, 31/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Лет 10 назад
     
  • 2.9, Аноним (9), 16:05, 31/03/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В notepad++ тоже напихали малвари от NSA, которыми оно проникало на машины разрабов. Хотя казалось бы, какой-то угшный блокнот на сцинтилле. Но, как оказалось, это удобный вектор проникновения, потому что им пользуются люди с нужным доступом к инфраструктурам.
     
     
  • 3.10, Аноним (10), 16:17, 31/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это дополнения на JS?
     
     
  • 4.15, Аноним (9), 04:05, 01/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, это remote code execution при открытии текстового файла, который в нём регулярно обнаруживается. Но дополнения тоже наверно.
     
  • 2.12, Аноним (13), 17:36, 31/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поддержку С++ вернут, посмотрим. А пока никакого интереса не представляет.
     

  • 1.5, YetAnotherOnanym (ok), 10:56, 31/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > вызвана отсутствием проверки SSL-сертификатов и имени хоста при загрузке данных через HTTPS

    Разрабы NetBeans, небось, и wget всегда запускают с "--no-check-certificate"?

     
     
  • 2.7, kk (??), 11:39, 31/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    вы пробовали когданить заниматься с разработкой в конторе где используется корпоративный прокси с mitm сертификатом?

    вот судя по всему, нетбинс разрабатывают в т.ч. в такой конторе

     
     
  • 3.14, YetAnotherOnanym (ok), 18:33, 31/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если речь о том, что в конторах инспектируется трафик с помощью подмены сертификата и разный софт постоянно ругается на левый сертификат, то подозреваю, что в таких конторах свой корневой сертификат прописан на всех машинах во всех хранилищах, где только можно.
     
     
  • 4.17, kk (??), 13:07, 01/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не весь софт нормально переваривает такие сертификаты, даже если они везде прописаны
     
     
  • 5.18, Коровавирус (?), 09:06, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какие "такие"?
     

  • 1.6, ДмитрийСССР (?), 11:15, 31/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    NetBeans отличная среда, но блин, где-то читал что после передачи от Oracle к Apache, что проект получит высокий приоритет, но развитие капец медленное, до сих пор дебагер в PHP работает через раз, и бывает коннект не завершается после окончания отладки (на разных ПК и ОС проверял), до сих пор не работает Evaluate Expression в PHP отладчике :(
     
     
  • 2.8, Аноним (8), 13:35, 31/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    отладка и в idea примерно так же работает. если через xdebug
     
  • 2.16, Аноним (16), 11:57, 01/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, 8.2 была самая стабильная. Сейчас багов добавилось, стала подтормаживать и с дополнениями непонятно стало, подходят ли старые или нет.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру