<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.EmailStyle19
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.EmailStyle21
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.EmailStyle23
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-IE" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">-----BEGIN PGP SIGNED MESSAGE-----<o:p></o:p></p>
<p class="MsoNormal">Hash: SHA1<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">- ------------------------------------------------------------------------<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VMware Security Advisory<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">Advisory ID: VMSA-2018-0023<o:p></o:p></p>
<p class="MsoNormal">Severity:&nbsp;&nbsp;&nbsp; Low<o:p></o:p></p>
<p class="MsoNormal">Synopsis:&nbsp;&nbsp;&nbsp; AirWatch Agent and VMware Content Locker updates resolve
<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;data protection vulnerabilities.<o:p></o:p></p>
<p class="MsoNormal">Issue date:&nbsp; 2018-09-05<o:p></o:p></p>
<p class="MsoNormal">Updated on:&nbsp; 2018-09-05 (Initial Advisory)<o:p></o:p></p>
<p class="MsoNormal">CVE number:&nbsp; CVE-2018-6975<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp; CVE-2018-6976<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">1. Summary<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; AirWatch Agent and VMware Content Locker updates resolve data
<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;protection vulnerabilities.<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">2. Relevant Products<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; AirWatch Agent for iOS (A/W Agent)<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; VMware Content Locker for iOS (A/W Locker)<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">3. Problem Description<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; a. The AirWatch Agent for iOS devices contains a data <o:p>
</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;protection vulnerability<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; <o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;The AirWatch Agent for iOS devices contains a data protection
<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;vulnerability whereby the files and keychain entries in the Agent are<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; not encrypted.<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; VMware would like to thank Stephan Sekula of Compass Security for
<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;reporting this issue to us.<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; <o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;The Common Vulnerabilities and Exposures project (cve.mitre.org) has<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; assigned the identifier CVE-2018-6975 to this issue.<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; Column 5 of the following table lists the action required to<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; remediate the vulnerability in each release, if a solution is<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; available.<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp; Running&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Replace with/&nbsp;&nbsp;&nbsp;&nbsp; Mitigation/<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Severity&nbsp; Apply Patch&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Workaround<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; =========== ========= ======= ========= ================= ==========<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; A/W Agent&nbsp;&nbsp; x.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; iOS&nbsp;&nbsp;&nbsp;&nbsp; Low&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 5.8.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></p>
<p class="MsoNormal">&nbsp; <o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;b. The VMware Content Locker for iOS devices contains a data
<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;protection vulnerability<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; <o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;The VMware Content Locker for iOS devices contains a data protection
<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;vulnerability in the SQLite database. This vulnerability relates to
<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;unencrypted filenames and associated metadata in SQLite database for
<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;the Content Locker.<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; VMware would like to thank Stephan Sekula of Compass Security for
<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;reporting this issue to us.<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; The Common Vulnerabilities and Exposures project (cve.mitre.org) has<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; assigned the identifier CVE-2018-6976 to this issue.<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; Column 5 of the following table lists the action required to
<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;remediate the vulnerability in each release, if a solution is
<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;available.<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp; Running&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Replace with/&nbsp;&nbsp;&nbsp;&nbsp; Mitigation/<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Severity&nbsp; Apply Patch&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Workaround<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; =========== ========= ======= ========= ================= ==========<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; A/W Locker&nbsp; x.x&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;iOS&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Low&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp; 4.14&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">4. Solution<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp; AirWatch Agent for iOS 5.8.1<o:p></o:p></p>
<p class="MsoNormal">&nbsp; Downloads and Documentation:<o:p></o:p></p>
<p class="MsoNormal">&nbsp; <a href="https://itunes.apple.com/us/app/airwatch-agent/id338761996?mt=8">
https://itunes.apple.com/us/app/airwatch-agent/id338761996?mt=8</a><o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <o:p></o:p></p>
<p class="MsoNormal">&nbsp; VMware Content Locker for iOS 4.14<o:p></o:p></p>
<p class="MsoNormal">&nbsp; Downloads and Documentation:<o:p></o:p></p>
<p class="MsoNormal">&nbsp; <a href="https://itunes.apple.com/us/app/vmware-content-locker/id525890839?mt=8">
https://itunes.apple.com/us/app/vmware-content-locker/id525890839?mt=8</a><o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">5. References<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6975">
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6975</a><o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6976">
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6976</a><o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">- ------------------------------------------------------------------------<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">6. Change log<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; 2018-09-05: Initial security advisory in conjunction with the release<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; of VMware Content Locker for iOS 4.14 on 2018-09-05<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">- ------------------------------------------------------------------------<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">7. Contact<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; E-mail list for product security notifications and announcements:<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; <a href="http://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce">
http://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce</a><o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; This Security Advisory is posted to the following lists:<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp; <a href="mailto:security-announce@lists.vmware.com">security-announce@lists.vmware.com</a><o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp; <a href="mailto:bugtraq@securityfocus.com">bugtraq@securityfocus.com</a><o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp; <a href="mailto:fulldisclosure@seclists.org">fulldisclosure@seclists.org</a><o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; E-mail: security at vmware.com<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; PGP key at: <a href="https://kb.vmware.com/kb/1055">https://kb.vmware.com/kb/1055</a><o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; VMware Security Advisories<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; <a href="http://www.vmware.com/security/advisories">http://www.vmware.com/security/advisories</a><o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; VMware Security Response Policy<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; <a href="https://www.vmware.com/support/policies/security_response.html">
https://www.vmware.com/support/policies/security_response.html</a><o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; VMware Lifecycle Support Phases<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; <a href="https://www.vmware.com/support/policies/lifecycle.html">
https://www.vmware.com/support/policies/lifecycle.html</a><o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; VMware Security &amp; Compliance Blog&nbsp;&nbsp; <o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;<a href="https://blogs.vmware.com/security">https://blogs.vmware.com/security</a><o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; Twitter<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; <a href="https://twitter.com/VMwareSRC">https://twitter.com/VMwareSRC</a><o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">&nbsp;&nbsp; Copyright 2018 VMware Inc. All rights reserved.<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">-----BEGIN PGP SIGNATURE-----<o:p></o:p></p>
<p class="MsoNormal">Version: Encryption Desktop 10.4.1 (Build 490)<o:p></o:p></p>
<p class="MsoNormal">Charset: utf-8<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">wj8DBQFbj7R3DEcm8Vbi9kMRAlpuAJ0eOiXkLtOK1A7zFwo0knFmzSRW/wCgibMB<o:p></o:p></p>
<p class="MsoNormal">aId87Av2WFMpTiIEkrXPOMY=<o:p></o:p></p>
<p class="MsoNormal">=bxYL<o:p></o:p></p>
<p class="MsoNormal">-----END PGP SIGNATURE-----<span lang="EN-US" style="mso-fareast-language:EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p>&nbsp;</o:p></span></p>
</div>
</body>
</html>