<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none"><!-- P { margin-top: 0px; margin-bottom: 0px; } p { margin-top: 0px; margin-bottom: 0px; } @font-face { font-family: 'Courier New'; } @font-face { font-family: 'Cambria Math'; } @font-face { font-family: Calibri; } p.MsoNormal, li.MsoNormal, div.MsoNormal { margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: Calibri; } a:link, span.MsoHyperlink { color: rgb(5, 99, 193); text-decoration: underline; } a:visited, span.MsoHyperlinkFollowed { color: rgb(149, 79, 114); text-decoration: underline; } span.EmailStyle17 { font-family: 'Courier New'; color: windowtext; font-weight: normal; font-style: normal; text-decoration: none; } span.msoIns { text-decoration: underline; color: teal; } .MsoChpDefault { font-family: Calibri; } @page WordSection1 { margin: 1in; }--></style>
</head>
<body dir="ltr" style="font-size:8pt;color:#000000;background-color:#FFFFFF;font-family:'Courier New',monospace;">
<div>&#8203;-----BEGIN PGP SIGNED MESSAGE-----</div>
<div>Hash: SHA1</div>
<div><br>
</div>
<div>- ---------------------------------------------------------------------------</div>
<div>- -</div>
<div>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;VMware Security Advisory</div>
<div>&nbsp;</div>
<div>Advisory ID: VMSA-2016-0021</div>
<div>Severity: &nbsp; &nbsp;Moderate</div>
<div>Synopsis: &nbsp; &nbsp;VMware product updates address partial information disclosure</div>
<div>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;vulnerability</div>
<div>Issue date: &nbsp;2016-11-22</div>
<div>Updated on: &nbsp;2016-11-22 (Initial Advisory)</div>
<div>CVE number: &nbsp;CVE-2016-5334</div>
<div>&nbsp;</div>
<div>1. Summary</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware product updates address partial information disclosure</div>
<div>&nbsp; &nbsp;vulnerability</div>
<div>&nbsp;</div>
<div>2. Relevant Products</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware Identity Manager</div>
<div>&nbsp; &nbsp;vRealize Automation</div>
<div>&nbsp;</div>
<div>3. Problem Description</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;Partial information disclosure vulnerability in VMware Identity Manager</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware Identity Manager contains a vulnerability that may allow for a</div>
<div>&nbsp; &nbsp;partial information disclosure. Successful exploitation of the</div>
<div>&nbsp; &nbsp;vulnerability may allow read access to files contained in the</div>
<div>&nbsp; &nbsp;/SAAS/WEB-INF and /SAAS/META-INF directories remotely.</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware would like to thank Max Chang of Trend Micro for reporting this</div>
<div>&nbsp; &nbsp;issue to us.</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;The Common Vulnerabilities and Exposures project (cve.mitre.org) has</div>
<div>&nbsp; &nbsp;assigned the identifier CVE-2016-5334 to this issue.</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;Column 5 of the following table lists the action required to remediate</div>
<div>&nbsp; &nbsp;the vulnerability in each release, if a solution is available.</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Product &nbsp; Running &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Replace with/ Mitigations/ &nbsp;&nbsp;</div>
<div>&nbsp; &nbsp; &nbsp;&nbsp;</div>
<div>&nbsp; &nbsp;Product &nbsp; &nbsp; &nbsp; &nbsp; Version &nbsp; on &nbsp; &nbsp; &nbsp;Severity Apply patch &nbsp; Workarounds</div>
<div>&nbsp; &nbsp;=============== ========= ======= ======== ============= ==========</div>
<div>&nbsp; &nbsp;VMware Identity 2.x &nbsp; &nbsp; &nbsp; VA &nbsp; &nbsp; &nbsp;Moderate 2.7.1 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;None</div>
<div>&nbsp; &nbsp;Manager</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;vRealize &nbsp; &nbsp; &nbsp; &nbsp;7.x &nbsp; &nbsp; &nbsp; VA &nbsp; &nbsp; &nbsp;Moderate 7.2.0* &nbsp; &nbsp; &nbsp; &nbsp; None</div>
<div>&nbsp; &nbsp;Automation</div>
<div>&nbsp; &nbsp;vRealize &nbsp; &nbsp; &nbsp; &nbsp;6.x &nbsp; &nbsp; &nbsp; VA &nbsp; &nbsp; &nbsp;N/A &nbsp; &nbsp; &nbsp;not affected &nbsp; N/A</div>
<div>&nbsp; &nbsp;Automation</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;*vRealize Automation 7.x ships with an RPM-based version of VMware</div>
<div>&nbsp; &nbsp;Identity Manager</div>
<div>&nbsp;</div>
<div>4. Solution</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;Please review the patch/release notes for your product and version and</div>
<div>&nbsp; &nbsp;verify the checksum of your downloaded file.</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware Identity Manager</div>
<div>&nbsp; &nbsp;Downloads and Documentation:</div>
<div>&nbsp;&nbsp;</div>
<div>https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computing/vmwar</div>
<div>e_identity_manager/2_7</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;vRealize Automation</div>
<div>&nbsp; &nbsp;Downloads and Documentation:</div>
<div>&nbsp;&nbsp;</div>
<div>https://my.vmware.com/en/web/vmware/info/slug/infrastructure_operations_man</div>
<div>agement/vmware_vrealize_automation/7_2</div>
<div>&nbsp;</div>
<div>5. References</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5334</div>
<div>&nbsp;</div>
<div>- ---------------------------------------------------------------------------</div>
<div>- -</div>
<div>&nbsp;</div>
<div>6. Change log</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;2016-11-22 VMSA-2016-0021 Initial security advisory in conjunction with</div>
<div>&nbsp; &nbsp;the release of vRealize Automation 7.2.0 on 2016-11-22.</div>
<div>- ---------------------------------------------------------------------------</div>
<div>- -</div>
<div>&nbsp;</div>
<div>7. Contact</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;E-mail list for product security notifications and announcements:</div>
<div>&nbsp; &nbsp;http://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;This Security Advisory is posted to the following lists:</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp; security-announce@lists.vmware.com</div>
<div>&nbsp; &nbsp; bugtraq@securityfocus.com</div>
<div>&nbsp; &nbsp; fulldisclosure@seclists.org</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;E-mail: security at vmware.com</div>
<div>&nbsp; &nbsp;PGP key at: https://kb.vmware.com/kb/1055</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware Security Advisories</div>
<div>&nbsp; &nbsp;http://www.vmware.com/security/advisories</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware Security Response Policy</div>
<div>&nbsp; &nbsp;https://www.vmware.com/support/policies/security_response.html</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;VMware Lifecycle Support Phases</div>
<div>&nbsp; &nbsp;https://www.vmware.com/support/policies/lifecycle.html</div>
<div>&nbsp; &nbsp;Twitter</div>
<div>&nbsp; &nbsp;https://twitter.com/VMwareSRC</div>
<div>&nbsp;</div>
<div>&nbsp; &nbsp;Copyright 2016 VMware Inc. &nbsp;All rights reserved.</div>
<div><br>
</div>
<div>-----BEGIN PGP SIGNATURE-----</div>
<div>Version: PGP Desktop 9.8.3 (Build 4028)</div>
<div>Charset: utf-8</div>
<div><br>
</div>
<div>wj8DBQFYNJRbDEcm8Vbi9kMRAoZ8AJ9GEGjdbanBL7TutXLHaHkhCkLYtwCfQIx7</div>
<div>33CTjHINi49K6V3vniozcnw=</div>
<div>=ImJ2</div>
<div>-----END PGP SIGNATURE-----&#8203;<br>
</div>
</body>
</html>