<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none"><!--P{margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr" style="font-size:10pt;color:#000000;background-color:#FFFFFF;font-family:Calibri,Arial,Helvetica,sans-serif;">
<p><span style="font-family: &quot;Courier New&quot;,monospace;">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
- ------------------------------------------------------------------------<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VMware Security Advisory<br>
<br>
Advisory ID: VMSA-2015-0009.1<br>
Synopsis:&nbsp;&nbsp;&nbsp; VMware product updates address a critical deserialization<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; vulnerability <br>
Issue date:&nbsp; 2015-12-18<br>
Updated on:&nbsp; 2016-01-29<br>
CVE number:&nbsp; CVE-2015-6934<br>
<br>
- ------------------------------------------------------------------------<br>
<br>
1. Summary<br>
<br>
&nbsp;&nbsp; VMware product updates address a critical deserialization <br>
&nbsp;&nbsp; vulnerability<br>
&nbsp;<br>
2. Relevant Releases<br>
<br>
&nbsp;&nbsp; vRealize Orchestrator 6.x<br>
&nbsp;&nbsp; vCenter Orchestrator 5.x<br>
<br>
3. Problem Description <br>
<br>
&nbsp;&nbsp; a. Deserialization vulnerability<br>
<br>
&nbsp;&nbsp; A deserialization vulnerability involving Apache Commons-collections<br>
&nbsp;&nbsp; and a specially constructed chain of classes exists. Successful <br>
&nbsp;&nbsp; exploitation could result in remote code execution, with the <br>
&nbsp;&nbsp; permissions of the application using the Commons-collections library.<br>
<br>
&nbsp;&nbsp; The Common Vulnerabilities and Exposures project (cve.mitre.org) has <br>
&nbsp;&nbsp; assigned the identifier CVE-2015-6934 to this issue.<br>
<br>
&nbsp;&nbsp; Column 4 of the following table lists the action required to<br>
&nbsp;&nbsp; remediate the vulnerability in each release, if a solution is <br>
&nbsp;&nbsp; available.<br>
<br>
&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp; Replace with/<br>
&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Apply Patch<br>
&nbsp;&nbsp; =====================&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =======&nbsp;&nbsp;&nbsp; =======&nbsp;&nbsp; =================<br>
&nbsp;&nbsp; vRealize Orchestrator&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 7.0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Any&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Not Affected<br>
&nbsp;&nbsp; vRealize Orchestrator&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Any&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; See KB2141244<br>
&nbsp;&nbsp; vCenter Orchestrator&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 5.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Any&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; See KB2141244<br>
&nbsp; &nbsp;<br>
&nbsp;&nbsp; vRealize Operations&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Windows&nbsp;&nbsp; 6.2 *<br>
&nbsp;&nbsp; vCenter Operations&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 5.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Windows&nbsp;&nbsp; Patch Pending *<br>
<br>
&nbsp;&nbsp; vCenter Application&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 7.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Any&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Patch Pending *<br>
&nbsp;&nbsp; Discovery Manager (vADM) <br>
<br>
&nbsp;&nbsp; * Exploitation of the issue on vRealize Operations, vCenter<br>
&nbsp;&nbsp;&nbsp;&nbsp; Operations, and vCenter Application Discovery Manager is limited to<br>
&nbsp;&nbsp;&nbsp;&nbsp; local privilege escalation.<br>
&nbsp; &nbsp;<br>
4. Solution<br>
<br>
&nbsp;&nbsp; Please review the patch/release notes for your product and<br>
&nbsp;&nbsp; version and verify the checksum of your downloaded file.<br>
<br>
&nbsp;&nbsp; vRealize Orchestrator 6.x and <br>
&nbsp;&nbsp; vCenter Orchestrator 5.x<br>
&nbsp;&nbsp; Downloads and Documentation:<br>
&nbsp;&nbsp; http://kb.vmware.com/kb/2141244<br>
<br>
&nbsp;&nbsp; vRealize Operations 6.x<br>
&nbsp;&nbsp; Release Notes<br>
&nbsp; <br>
http://pubs.vmware.com/Release_Notes/en/vrops/62/vrops-62-release-notes.htm<br>
l<br>
<br>
5. References<br>
<br>
&nbsp;&nbsp; http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6934<br>
<br>
- ------------------------------------------------------------------------<br>
<br>
6. Change log<br>
<br>
&nbsp;&nbsp; 2015-12-18 VMSA-2015-0009 <br>
&nbsp;&nbsp; Initial security advisory in conjunction with the release of vRealize<br>
&nbsp;&nbsp; Orchestrator 6.x and vCenter Orchestrator 5.x patches on 2015-12-18.<br>
<br>
&nbsp;&nbsp; 2016-01-29 VMSA-2015-0009.1<br>
&nbsp;&nbsp; Updated security advisory in conjunction with the release of vRealize<br>
&nbsp;&nbsp; Operations 6.2 on 2016-01-28. Added a note below the table in<br>
&nbsp;&nbsp; section 3.a that exploitation of this issue in vCenter Application<br>
&nbsp;&nbsp; Discovery Manager is limited to local privilege escalation.<br>
<br>
- ------------------------------------------------------------------------<br>
<br>
7. Contact<br>
<br>
&nbsp;&nbsp; E-mail list for product security notifications and announcements:<br>
&nbsp;&nbsp; http://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce<br>
<br>
&nbsp;&nbsp; This Security Advisory is posted to the following lists:<br>
<br>
&nbsp;&nbsp;&nbsp; security-announce at lists.vmware.com<br>
&nbsp;&nbsp;&nbsp; bugtraq at securityfocus.com<br>
&nbsp;&nbsp;&nbsp; fulldisclosure at seclists.org<br>
<br>
&nbsp;&nbsp; E-mail: security at vmware.com<br>
&nbsp;&nbsp; PGP key at: http://kb.vmware.com/kb/1055<br>
<br>
&nbsp;&nbsp; VMware Security Advisories<br>
&nbsp;&nbsp; http://www.vmware.com/security/advisories<br>
<br>
&nbsp;&nbsp; Consolidated list of VMware Security Advisories<br>
&nbsp;&nbsp; http://kb.vmware.com/kb/2078735<br>
<br>
&nbsp;&nbsp; VMware Security Response Policy<br>
&nbsp;&nbsp; https://www.vmware.com/support/policies/security_response.html<br>
<br>
&nbsp;&nbsp; VMware Lifecycle Support Phases<br>
&nbsp;&nbsp; https://www.vmware.com/support/policies/lifecycle.html<br>
&nbsp;<br>
&nbsp;&nbsp; Twitter<br>
&nbsp;&nbsp; https://twitter.com/VMwareSRC<br>
<br>
&nbsp;&nbsp; Copyright 2015 VMware Inc.&nbsp; All rights reserved.<br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: PGP Desktop 9.8.3 (Build 4028)<br>
Charset: utf-8<br>
<br>
wj8DBQFWrAG7DEcm8Vbi9kMRAtUyAKDqGd2Fz3bzBP5GgS3VG1pXQhbDhgCg&#43;8YK<br>
pyrJ72cxfEW0TguF2XCNGLQ=<br>
=&#43;MxM<br>
-----END PGP SIGNATURE-----</span><br>
</p>
</body>
</html>