<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
{mso-style-name:msonormal;
mso-margin-top-alt:auto;
margin-right:0in;
mso-margin-bottom-alt:auto;
margin-left:0in;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
span.EmailStyle18
{mso-style-type:personal-compose;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;
font-family:"Calibri",sans-serif;}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">-----BEGIN PGP SIGNED MESSAGE-----<o:p></o:p></p>
<p class="MsoNormal">Hash: SHA1<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">- ------------------------------------------------------------------------<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> VMware Security Advisory<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Advisory ID: VMSA-2018-0009<o:p></o:p></p>
<p class="MsoNormal">Severity: Important<o:p></o:p></p>
<p class="MsoNormal">Synopsis: vRealize Automation updates address <o:p></o:p></p>
<p class="MsoNormal"> multiple security issues. <o:p></o:p></p>
<p class="MsoNormal">Issue date: 2018-04-12 <o:p></o:p></p>
<p class="MsoNormal">Updated on: 2018-04-12 (Initial Advisory)<o:p></o:p></p>
<p class="MsoNormal">CVE number: CVE-2018-6958, CVE-2018-6959<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">1. Summary<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> vRealize Automation (vRA) updates address<o:p></o:p></p>
<p class="MsoNormal"> multiple security issues.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">2. Relevant Products<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> vRealize Automation (vRA)<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">3. Problem Description<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> a. DOM-based cross-site scripting (XSS) vulnerability<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> VMware vRealize Automation contains a vulnerability that may allow
<o:p></o:p></p>
<p class="MsoNormal"> for a DOM-based cross-site scripting (XSS) attack. Exploitation of
<o:p></o:p></p>
<p class="MsoNormal"> this issue may lead to the compromise of the vRA user's workstation.<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> VMware would like to thank Oliver Matula and Benjamin Schwendemann
<o:p></o:p></p>
<p class="MsoNormal"> of ERNW Enno Rey Netzwerke GmbH for reporting this issue to us.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> The Common Vulnerabilities and Exposures project (cve.mitre.org) has<o:p></o:p></p>
<p class="MsoNormal"> assigned the identifier CVE-2018-6958 to this issue.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> Column 5 of the following table lists the action required to<o:p></o:p></p>
<p class="MsoNormal"> remediate the vulnerability in each release, if a solution is<o:p></o:p></p>
<p class="MsoNormal"> available.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> VMware Product Running Replace with/ Mitigation/<o:p></o:p></p>
<p class="MsoNormal"> Product Version on Severity Apply Patch Workaround<o:p></o:p></p>
<p class="MsoNormal"> ========== ========= ======= ======== ================ ==========<o:p></o:p></p>
<p class="MsoNormal"> vRA 7.3.x VA Important 7.3.1 None
<o:p></o:p></p>
<p class="MsoNormal"> vRA 7.2.x VA Important 7.3.1 None<o:p></o:p></p>
<p class="MsoNormal"> vRA 7.1.x VA Important 7.3.1 None
<o:p></o:p></p>
<p class="MsoNormal"> vRA 7.0.x VA Important 7.3.1 None<o:p></o:p></p>
<p class="MsoNormal"> vRA 6.2.x VA N/A not affected N/A<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> b. Missing renewal of session tokens vulnerability <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> VMware vRealize Automation contains a vulnerability in the handling
<o:p></o:p></p>
<p class="MsoNormal"> of session IDs. Exploitation of this issue may lead to the hijacking<o:p></o:p></p>
<p class="MsoNormal"> of a valid vRA user's session.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> VMware would like to thank Oliver Matula and Benjamin Schwendemann
<o:p></o:p></p>
<p class="MsoNormal"> of ERNW Enno Rey Netzwerke GmbH for reporting this issue to us.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> The Common Vulnerabilities and Exposures project (cve.mitre.org) has<o:p></o:p></p>
<p class="MsoNormal"> assigned the identifier CVE-2018-6959 to this issue.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> Column 5 of the following table lists the action required to<o:p></o:p></p>
<p class="MsoNormal"> remediate the vulnerability in each release, if a solution is<o:p></o:p></p>
<p class="MsoNormal"> available.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> VMware Product Running Replace with/ Mitigation/<o:p></o:p></p>
<p class="MsoNormal"> Product Version on Severity Apply Patch Workaround<o:p></o:p></p>
<p class="MsoNormal"> ========== ========= ======= ======== ================ ==========<o:p></o:p></p>
<p class="MsoNormal"> vRA 7.3.x VA Moderate 7.4.0 None
<o:p></o:p></p>
<p class="MsoNormal"> vRA 7.2.x VA Moderate 7.4.0 None<o:p></o:p></p>
<p class="MsoNormal"> vRA 7.1.x VA Moderate 7.4.0 None
<o:p></o:p></p>
<p class="MsoNormal"> vRA 7.0.x VA Moderate 7.4.0 None<o:p></o:p></p>
<p class="MsoNormal"> vRA 6.2.x VA N/A not affected N/A
<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">4. Solution<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> Please review the patch/release notes for your product and version and<o:p></o:p></p>
<p class="MsoNormal"> verify the checksum of your downloaded file.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> vRealize Automation 7.3.1<o:p></o:p></p>
<p class="MsoNormal"> Downloads:<o:p></o:p></p>
<p class="MsoNormal"> https://my.vmware.com/web/vmware/info/slug/<o:p></o:p></p>
<p class="MsoNormal"> infrastructure_operations_management/vmware_vrealize_automation/7_3
<o:p></o:p></p>
<p class="MsoNormal"> Documentation:<o:p></o:p></p>
<p class="MsoNormal"> https://docs.vmware.com/en/vRealize-Automation/index.html
<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> vRealize Automation 7.4.0<o:p></o:p></p>
<p class="MsoNormal"> Downloads:<o:p></o:p></p>
<p class="MsoNormal"> https://my.vmware.com/web/vmware/info/slug/<o:p></o:p></p>
<p class="MsoNormal"> infrastructure_operations_management/vmware_vrealize_automation/7_4<o:p></o:p></p>
<p class="MsoNormal"> Documentation:<o:p></o:p></p>
<p class="MsoNormal"> https://docs.vmware.com/en/vRealize-Automation/index.html
<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">5. References<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6958<o:p></o:p></p>
<p class="MsoNormal"> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6959<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">- -------------------------------------------------------------------------<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">6. Change log<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> 2018-04-12 VMSA-2018-0009<o:p></o:p></p>
<p class="MsoNormal"> Initial security advisory in conjunction with the release of
<o:p></o:p></p>
<p class="MsoNormal"> vRealize Automation 7.4.0 on 2018-04-12<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">- -------------------------------------------------------------------------<o:p></o:p></p>
<p class="MsoNormal">7. Contact<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> E-mail list for product security notifications and announcements:<o:p></o:p></p>
<p class="MsoNormal"> http://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> This Security Advisory is posted to the following lists:<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> security-announce@lists.vmware.com<o:p></o:p></p>
<p class="MsoNormal"> bugtraq@securityfocus.com<o:p></o:p></p>
<p class="MsoNormal"> fulldisclosure@seclists.org<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> E-mail: security@vmware.com<o:p></o:p></p>
<p class="MsoNormal"> PGP key at: https://kb.vmware.com/kb/1055<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> VMware Security Advisories<o:p></o:p></p>
<p class="MsoNormal"> http://www.vmware.com/security/advisories<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> VMware Security Response Policy<o:p></o:p></p>
<p class="MsoNormal"> https://www.vmware.com/support/policies/security_response.html<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> VMware Lifecycle Support Phases<o:p></o:p></p>
<p class="MsoNormal"> https://www.vmware.com/support/policies/lifecycle.html<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> VMware Security & Compliance Blog<o:p></o:p></p>
<p class="MsoNormal"> https://blogs.vmware.com/security<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> Twitter<o:p></o:p></p>
<p class="MsoNormal"> https://twitter.com/VMwareSRC<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> Copyright 2018 VMware Inc. All rights reserved.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">-----BEGIN PGP SIGNATURE-----<o:p></o:p></p>
<p class="MsoNormal">Version: Encryption Desktop 10.4.1 (Build 490)<o:p></o:p></p>
<p class="MsoNormal">Charset: utf-8<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">wj8DBQFaz10uDEcm8Vbi9kMRAvTKAKD3Iwy3sJANhn+Sqf9TQJ0aYh31JQCgsYat<o:p></o:p></p>
<p class="MsoNormal">ElKsG4vJEpt+AhOtn8em1yU=<o:p></o:p></p>
<p class="MsoNormal">=n+Gt<o:p></o:p></p>
<p class="MsoNormal">-----END PGP SIGNATURE-----<o:p></o:p></p>
</div>
</body>
</html>