<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none"><!-- p { margin-top: 0px; margin-bottom: 0px; }--></style>
</head>
<body dir="ltr" style="font-size:8pt;color:#000000;background-color:#FFFFFF;font-family:'Courier New',monospace;">
<div>&#8203;-----BEGIN PGP SIGNED MESSAGE-----</div>
<div>Hash: SHA1</div>
<div><br>
</div>
<div>- ------------------------------------------------------------------------</div>
<div>VMware Security Advisory</div>
<div>&nbsp;</div>
<div>Advisory ID: VMSA-2016-0006<br>
</div>
<div>Synopsis: &nbsp; &nbsp;VMware vCenter Server updates address an important cross-site&nbsp;</div>
<div>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;scripting issue&nbsp;</div>
<div><br>
</div>
<div>Issue date: &nbsp;2016-05-24</div>
<div>Updated on: &nbsp;2016-05-24 (Initial Advisory)</div>
<div>CVE number: &nbsp;CVE-2016-2078&nbsp;</div>
<div>&nbsp;</div>
<div>1. Summary</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware vCenter Server updates address an important cross-site scripting</div>
<div>issue.</div>
<div>&nbsp;</div>
<div>2. Relevant Releases</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;vCenter Server 6.0 prior to 6.0 update 2&nbsp;</div>
<div>&nbsp; &nbsp;vCenter Server 5.5 prior to 5.5 update 3d</div>
<div>&nbsp; &nbsp;vCenter Server 5.1 prior to 5.1 update 3d&nbsp;</div>
<div>&nbsp; &nbsp;</div>
<div>3. Problem Description</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;a. Reflected cross-site scripting issue through flash parameter</div>
<div>injection</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;The vSphere Web Client contains a reflected cross-site scripting&nbsp;</div>
<div>&nbsp; &nbsp;vulnerability that occurs through flash parameter injection. An attacker</div>
<div>&nbsp; &nbsp;can exploit this issue by tricking a victim into clicking a malicious</div>
<div>link.&nbsp;</div>
<div><br>
</div>
<div>&nbsp; &nbsp;VMware would like to thank John Page aka hyp3rlinx for reporting this</div>
<div>issue to us.</div>
<div>&nbsp; &nbsp;</div>
<div>&nbsp; &nbsp;The Common Vulnerabilities and Exposures project (cve.mitre.org) has&nbsp;</div>
<div>&nbsp; &nbsp;assigned the identifier CVE-2016-2078 to this issue.</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;Column 4 of the following table lists the action required to</div>
<div>&nbsp; &nbsp;remediate the vulnerability in each release, if a solution is&nbsp;</div>
<div>&nbsp; &nbsp;available.</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Product &nbsp; &nbsp; &nbsp; Running &nbsp; &nbsp; &nbsp;Replace with/</div>
<div>&nbsp; &nbsp;Product &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Version &nbsp; &nbsp; &nbsp; &nbsp; on &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Apply Patch</div>
<div>&nbsp; &nbsp;============ &nbsp; &nbsp; &nbsp; ========== &nbsp; &nbsp;========== &nbsp; &nbsp;=============</div>
<div>&nbsp; &nbsp;vCenter Server &nbsp; &nbsp; &nbsp; 6.0 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Window &nbsp; &nbsp; &nbsp; &nbsp; 6.0 U2*</div>
<div>&nbsp; &nbsp;vCenter Server &nbsp; &nbsp; &nbsp; 6.0 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Linux &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;not affected</div>
<div>&nbsp; &nbsp;vCenter Server &nbsp; &nbsp; &nbsp; 5.5 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Window &nbsp; &nbsp; &nbsp; &nbsp; 5.5 U3d*</div>
<div>&nbsp; &nbsp;vCenter Server &nbsp; &nbsp; &nbsp; 5.5 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Linux &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;not affected</div>
<div>&nbsp; &nbsp;vCenter Server &nbsp; &nbsp; &nbsp; 5.1 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Window &nbsp; &nbsp; &nbsp; &nbsp; 5.1 U3d*</div>
<div>&nbsp; &nbsp;vCenter Server &nbsp; &nbsp; &nbsp; 5.1 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Linux &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;not affected</div>
<div>&nbsp; &nbsp;vCenter Server &nbsp; &nbsp; &nbsp; 5.0 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;any &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;not affected</div>
<div>&nbsp; &nbsp;</div>
<div>&nbsp; &nbsp;*Client side component of the vSphere Web Client does not need to be</div>
<div>updated&nbsp;<span style="font-size:8pt">to remediate CVE-2016-2078. Updating the vCenter Server is sufficient</span></div>
<div>to&nbsp;<span style="font-size:8pt">remediate this issue.&nbsp;</span></div>
<div>&nbsp;</div>
<div><br>
</div>
<div>4. Solution</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;Please review the patch/release notes for your product and</div>
<div>&nbsp; &nbsp;version and verify the checksum of your downloaded file.</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;vCenter Server</div>
<div>&nbsp; &nbsp;--------------<br>
</div>
<div>&nbsp; &nbsp;Downloads and Documentation:</div>
<div>&nbsp; &nbsp;https://www.vmware.com/go/download-vsphere</div>
<div>&nbsp;</div>
<div>&nbsp;&nbsp;</div>
<div>5. References</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2078</div>
<div>&nbsp; &nbsp;</div>
<div>- ------------------------------------------------------------------------</div>
<div>&nbsp;</div>
<div>6. Change log</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;2016-05-24 VMSA-2016-0006</div>
<div>&nbsp; &nbsp;Initial security advisory in conjunction with the release of VMware&nbsp;</div>
<div>&nbsp; &nbsp;vCenter Server 5.1 U3d on 2016-05-24.</div>
<div>&nbsp;</div>
<div>- ------------------------------------------------------------------------</div>
<div>&nbsp;</div>
<div>7. Contact</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;E-mail list for product security notifications and announcements:</div>
<div>&nbsp; &nbsp;http://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;This Security Advisory is posted to the following lists:</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;security-announce at lists.vmware.com</div>
<div>&nbsp; &nbsp;bugtraq at securityfocus.com</div>
<div>&nbsp; &nbsp;fulldisclosure at seclists.org</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;E-mail: security at vmware.com</div>
<div>&nbsp; &nbsp;PGP key at: https://kb.vmware.com/kb/1055</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware Security Advisories</div>
<div>&nbsp; &nbsp;http://www.vmware.com/security/advisories</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;Consolidated list of VMware Security Advisories</div>
<div>&nbsp; &nbsp;http://kb.vmware.com/kb/2078735</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware Security Response Policy</div>
<div>&nbsp; &nbsp;https://www.vmware.com/support/policies/security_response.html</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware Lifecycle Support Phases</div>
<div>&nbsp; &nbsp;https://www.vmware.com/support/policies/lifecycle.html</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;Twitter</div>
<div>&nbsp; &nbsp;https://twitter.com/VMwareSRC</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;Copyright 2016 VMware Inc. &nbsp;All rights reserved.</div>
<div><br>
</div>
<div>-----BEGIN PGP SIGNATURE-----</div>
<div>Version: Encryption Desktop 10.3.2 (Build 21165)</div>
<div>Charset: utf-8</div>
<div><br>
</div>
<div>wj8DBQFXQ9NcDEcm8Vbi9kMRAqwrAJ9b7&#43;p4TGNBRGhHQUFmYsawBbOp5wCg0/aw</div>
<div>NRfGidYCwwF9ALq6OGrnMAU=</div>
<div>=j89F</div>
<div>-----END PGP SIGNATURE-----</div>
<div><br>
<br>
</div>
<p><br>
</p>
</body>
</html>