<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none"><!-- p { margin-top: 0px; margin-bottom: 0px; }--></style>
</head>
<body dir="ltr" style="font-size:8pt;color:#000000;background-color:#FFFFFF;font-family:'Courier New',monospace;">
<p></p>
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
- ------------------------------------------------------------------------<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VMware Security Advisory<br>
<br>
Advisory ID: VMSA-2016-0008<br>
Synopsis:&nbsp;&nbsp;&nbsp; VMware vRealize Log Insight addresses important and <br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; moderate security issues.<br>
Issue date:&nbsp; 2016-06-09<br>
Updated on:&nbsp; 2016-06-09 (Initial Advisory)<br>
CVE number:&nbsp; CVE-2016-2081, CVE-2016-2082<br>
<br>
1. Summary<br>
<br>
&nbsp;&nbsp; VMware vRealize Log Insight addresses important and moderate security<br>
&nbsp;&nbsp; issues.<br>
<br>
2. Relevant Releases<br>
<br>
&nbsp;&nbsp; VMware vRealize Log Insight prior to 3.3.2<br>
<br>
3. Problem Description<br>
<br>
&nbsp;&nbsp; a. Important stored cross-site scripting issue in VMware vRealize Log<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Insight<br>
<br>
&nbsp;&nbsp; VMware vRealize Log Insight contains a vulnerability that may<br>
&nbsp;&nbsp; allow for a stored cross-site scripting attack. Exploitation of this<br>
&nbsp;&nbsp; issue may lead to the hijack of an authenticated user's session.<br>
<br>
&nbsp;&nbsp; VMware would like to thank Lukasz Plonka for reporting this issue to<br>
&nbsp;&nbsp; us.<br>
<br>
&nbsp;&nbsp; The Common Vulnerabilities and Exposures project (cve.mitre.org) has <br>
&nbsp;&nbsp; assigned the identifier CVE-2016-2081 to this issue.<br>
<br>
&nbsp;&nbsp; Column 4 of the following table lists the action required to<br>
&nbsp;&nbsp; remediate the vulnerability in each release, if a solution is <br>
&nbsp;&nbsp; available.<br>
<br>
&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp; Running&nbsp;&nbsp; Replace with/<br>
&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Apply Patch<br>
&nbsp;&nbsp; ===========================&nbsp;&nbsp; =======&nbsp;&nbsp; =======&nbsp;&nbsp; =================<br>
&nbsp;&nbsp; VMware vRealize Log Insight&nbsp;&nbsp; 3.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Virtual&nbsp;&nbsp; 3.3.2<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Appliance<br>
&nbsp;&nbsp; VMware vRealize Log Insight&nbsp;&nbsp; 2.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Virtual&nbsp;&nbsp; 3.3.2<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Appliance<br>
<br>
&nbsp;&nbsp; b. Moderate cross-site request forgery issue in VMware vRealize Log <br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Insight<br>
<br>
&nbsp;&nbsp; VMware vRealize Log Insight contains a vulnerability that may<br>
&nbsp;&nbsp; allow for a cross-site request forgery attack. Exploitation of this<br>
&nbsp;&nbsp; issue may lead to an attacker replacing trusted content in the Log<br>
&nbsp;&nbsp; Insight UI without the user&#8217;s authorization.<br>
<br>
&nbsp;&nbsp; VMware would like to thank Lukasz Plonka for reporting this issue to<br>
&nbsp;&nbsp; us.<br>
<br>
&nbsp;&nbsp; The Common Vulnerabilities and Exposures project (cve.mitre.org) has <br>
&nbsp;&nbsp; assigned the identifier CVE-2016-2082 to this issue.<br>
<br>
&nbsp;&nbsp; Column 4 of the following table lists the action required to<br>
&nbsp;&nbsp; remediate the vulnerability in each release, if a solution is <br>
&nbsp;&nbsp; available.<br>
<br>
&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp; Running&nbsp;&nbsp; Replace with/<br>
&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Apply Patch<br>
&nbsp;&nbsp; ===========================&nbsp;&nbsp; =======&nbsp;&nbsp; =======&nbsp;&nbsp; =================<br>
&nbsp;&nbsp; VMware vRealize Log Insight&nbsp;&nbsp; 3.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Virtual&nbsp;&nbsp; 3.3.2<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Appliance<br>
&nbsp;&nbsp; VMware vRealize Log Insight&nbsp;&nbsp; 2.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Virtual&nbsp;&nbsp; 3.3.2<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Appliance<br>
<br>
4. Solution<br>
<br>
&nbsp;&nbsp; Please review the patch/release notes for your product and<br>
&nbsp;&nbsp; version and verify the checksum of your downloaded file.<br>
<br>
&nbsp;&nbsp; VMware vRealize Log Insight 3.3.2<br>
&nbsp;&nbsp; Downloads and Documentation:<br>
<br>
&nbsp; <br>
<a href="https://my.vmware.com/en/web/vmware/info/slug/infrastructure_operations_man" target="_blank">https://my.vmware.com/en/web/vmware/info/slug/infrastructure_operations_man</a><br>
agement/vmware_vrealize_log_insight/3_3<br>
<br>
5. References<br>
<br>
&nbsp;&nbsp; <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2081" target="_blank">
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2081</a><br>
&nbsp;&nbsp; <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2082" target="_blank">
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2082</a><br>
<br>
- ------------------------------------------------------------------------<br>
<br>
6. Change log<br>
<br>
&nbsp;&nbsp; 2016-06-09 VMSA-2016-0008 Initial security advisory in conjunction <br>
&nbsp;&nbsp; with the release of VMware vRealize Log Insight 3.3.2 on 2016-06-09.<br>
<br>
- ------------------------------------------------------------------------<br>
<br>
7. Contact<br>
<br>
&nbsp;&nbsp; E-mail list for product security notifications and announcements:<br>
&nbsp;&nbsp; <a href="http://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce" target="_blank">
http://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce</a><br>
<br>
&nbsp;&nbsp; This Security Advisory is posted to the following lists:<br>
<br>
&nbsp;&nbsp;&nbsp; security-announce at lists.vmware.com<br>
&nbsp;&nbsp;&nbsp; bugtraq at securityfocus.com<br>
&nbsp;&nbsp;&nbsp; fulldisclosure at seclists.org<br>
<br>
&nbsp;&nbsp; E-mail: security at vmware.com<br>
&nbsp;&nbsp; PGP key at: <a href="https://kb.vmware.com/kb/1055" target="_blank">https://kb.vmware.com/kb/1055</a><br>
<br>
&nbsp;&nbsp; VMware Security Advisories<br>
&nbsp;&nbsp; <a href="http://www.vmware.com/security/advisories" target="_blank">http://www.vmware.com/security/advisories</a><br>
<br>
&nbsp;&nbsp; Consolidated list of VMware Security Advisories<br>
&nbsp;&nbsp; <a href="http://kb.vmware.com/kb/2078735" target="_blank">http://kb.vmware.com/kb/2078735</a><br>
<br>
&nbsp;&nbsp; VMware Security Response Policy<br>
&nbsp;&nbsp; <a href="https://www.vmware.com/support/policies/security_response.html" target="_blank">
https://www.vmware.com/support/policies/security_response.html</a><br>
<br>
&nbsp;&nbsp; VMware Lifecycle Support Phases<br>
&nbsp;&nbsp; <a href="https://www.vmware.com/support/policies/lifecycle.html" target="_blank">
https://www.vmware.com/support/policies/lifecycle.html</a><br>
<br>
&nbsp;&nbsp; Twitter<br>
&nbsp;&nbsp; <a href="https://twitter.com/VMwareSRC" target="_blank">https://twitter.com/VMwareSRC</a><br>
<br>
&nbsp;&nbsp; Copyright 2016 VMware Inc.&nbsp; All rights reserved.<br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: Encryption Desktop 10.3.2 (Build 21165)<br>
Charset: utf-8<br>
<br>
wj8DBQFXWj/PDEcm8Vbi9kMRAnAIAJ41gvMcGGXT4455eNmt7tR48d8pmgCgun/W<br>
uMHWtNOrpA7NINIY&#43;E8ASpo=<br>
=QmsU<br>
-----END PGP SIGNATURE-----
</body>
</html>