Összefoglaló
A NetBeans bővítmények olyan sérülékenységét jelentették, amelyet a támadók kihasználva spoofing támadásokat hajthatnak végre.
Leírás
A sérülékenységet a bővítmények SSL tanúsítványainak érvényesség ellenőrzés hiánya okozza, pl. Bugzilla vagy JIRA bugtracker-be való bejelentkezéskor. Ez kihasználható egy érvényes szerver megtévesztésére és pl. Man-in-the-Middle (MitM) támadások végrehajtására.
A sérülékenységet a következő termékekben jelentették:
- JIRA plugin for NetBeans 1.2 verzió
- Bugzilla plugin for NetBeans 1.15.1 verzió
Megoldás
Ne bízzon meg a tanúsítványok ellenőrzésében.
Támadás típusa
Authentication Issues (Hitelesítés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 47893
Egyéb referencia: archives.neohapsis.com
Gyártói referencia: netbeans.org