<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:#954F72;

        text-decoration:underline;}

p.MsoPlainText, li.MsoPlainText, div.MsoPlainText

        {mso-style-priority:99;

        mso-style-link:"Plain Text Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

span.EmailStyle17

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;}

span.PlainTextChar

        {mso-style-name:"Plain Text Char";

        mso-style-priority:99;

        mso-style-link:"Plain Text";

        font-family:"Calibri",sans-serif;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">-----BEGIN PGP SIGNED MESSAGE-----<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Hash: SHA1<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">- - ------------------------------------------------------------------------<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VMware Security Advisory<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Advisory ID: VMSA-2018-0029<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Severity:&nbsp;&nbsp;&nbsp; Critical<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Synopsis:&nbsp;&nbsp;&nbsp; vSphere Data Protection (VDP) updates address<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;multiple security issues.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Issue date:&nbsp; 2018-11-20<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Updated on:&nbsp; 2018-11-20 (Initial Advisory)<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">CVE number:&nbsp; CVE-2018-11066, CVE-2018-11067, CVE-2018-11076, CVE-2018-11077<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">1. Summary<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; vSphere Data Protection (VDP) updates address<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; multiple security issues.

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">2. Relevant Products<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; vSphere Data Protection (VDP). VDP is based on Dell EMC Avamar

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;Virtual Edition.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">3. Problem Description<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; a. Remote code execution vulnerability.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP contains a remote code execution vulnerability. A remote

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;unauthenticated attacker could potentially exploit this

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;vulnerability to execute arbitrary commands on the server.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; The Common Vulnerabilities and Exposures project (cve.mitre.org) has<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; assigned the identifier CVE-2018-11066 to this issue.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Column 5 of the following table lists the action required to<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; remediate the vulnerability in each release, if a solution is<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; available.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Replace with/&nbsp;&nbsp;&nbsp;&nbsp; Mitigation/<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Severity&nbsp; Apply Patch&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Workaround<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; ==========&nbsp; =========&nbsp; =======&nbsp; ========&nbsp; ================&nbsp; ==========<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.1.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Critical&nbsp; 6.1.10&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.0.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Critical&nbsp; 6.0.9&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; b. Open redirection vulnerability.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;VDP contains an open redirection vulnerability. A remote unauthenticated<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; attacker could potentially exploit this vulnerability to redirect

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;application users to arbitrary web URLs by tricking the victim users to

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;click on maliciously crafted links. The vulnerability could be used to

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;conduct phishing attacks that cause users to unknowingly visit malicious<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; sites.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;The Common Vulnerabilities and Exposures project (cve.mitre.org) has<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; assigned the identifier CVE-2018-11067 to this issue.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Column 5 of the following table lists the action required to<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; remediate the vulnerability in each release, if a solution is<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; available.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Replace with/&nbsp;&nbsp;&nbsp;&nbsp; Mitigation/<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Severity&nbsp; Apply Patch&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Workaround<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; ==========&nbsp; =========&nbsp; =======&nbsp; ========&nbsp; ================&nbsp; ==========<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.1.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Important 6.1.10&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.0.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Important 6.0.9&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; c. Information exposure vulnerability.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP contains an information exposure vulnerability. VDP Java

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;management console&#8217;s SSL/TLS private key may be leaked in the VDP

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;Java management client package. The private key could potentially be

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;used by an unauthenticated attacker on the same data-link layer to

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;initiate a MITM attack on management console users.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; The Common Vulnerabilities and Exposures project (cve.mitre.org) has<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; assigned the identifier CVE-2018-11076 to this issue.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Column 5 of the following table lists the action required to<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; remediate the vulnerability in each release, if a solution is<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; available.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Replace with/&nbsp;&nbsp;&nbsp;&nbsp; Mitigation/<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Severity&nbsp; Apply Patch&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Workaround<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; ==========&nbsp; =========&nbsp; =======&nbsp; ========&nbsp; ================&nbsp; ==========<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.1.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Important 6.1.9&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.0.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Important 6.0.9&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; d. Command injection vulnerability.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; The 'getlogs' troubleshooting utility in VDP contains an OS command

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;injection vulnerability. A malicious admin user may potentially be able

<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;to execute arbitrary commands under root privilege.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; The Common Vulnerabilities and Exposures project (cve.mitre.org) has<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; assigned the identifier CVE-2018-11077 to this issue.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Column 5 of the following table lists the action required to<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; remediate the vulnerability in each release, if a solution is<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; available.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Replace with/&nbsp;&nbsp;&nbsp;&nbsp; Mitigation/<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Severity&nbsp; Apply Patch&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Workaround<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; ==========&nbsp; =========&nbsp; =======&nbsp; ========&nbsp; ================&nbsp; ==========<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.1.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Moderate&nbsp; 6.1.10&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.0.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Moderate&nbsp; 6.0.9&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">4. Solution<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Please review the patch/release notes for your product and version and<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; verify the checksum of your downloaded file.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; vSphere Data Protection 6.1.10<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Downloads and Documentation:<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://my.vmware.com/group/vmware/details?productId=491<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; &amp;downloadGroup=VDP6110<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://www.vmware.com/support/pubs/vdr_pubs.html<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; vSphere Data Protection 6.0.9<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Downloads and Documentation:<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://my.vmware.com/web/vmware/details?productId=491<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; &amp;downloadGroup=VDP60_9<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://www.vmware.com/support/pubs/vdr_pubs.html<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">5. References<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11066<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11067<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11076<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11077<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">- - -------------------------------------------------------------------------<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">6. Change log<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; 2018-11-20 VMSA-2018-0029<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Initial security advisory in conjunction with the release of VMware<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; vSphere Data Protection 6.1.10 on 2018-11-20<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">- - -------------------------------------------------------------------------<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">7. Contact<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; E-mail list for product security notifications and announcements:<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; http://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; This Security Advisory is posted to the following lists:<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp; security-announce at lists.vmware.com<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp; bugtraq at securityfocus.com<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp; fulldisclosure at seclists.org<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; E-mail: security at vmware.com<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; PGP key at: https://kb.vmware.com/kb/1055<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware Security Advisories<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://www.vmware.com/security/advisories<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware Security Response Policy<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://www.vmware.com/support/policies/security_response.html<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware Lifecycle Support Phases<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://www.vmware.com/support/policies/lifecycle.html<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware Security &amp; Compliance Blog<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://blogs.vmware.com/security<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Twitter<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://twitter.com/VMwareSRC<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Copyright 2018 VMware Inc.&nbsp; All rights reserved.<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">-----BEGIN PGP SIGNATURE-----<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Version: Encryption Desktop 10.4.1 (Build 490)<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Charset: utf-8<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">wj8DBQFb9EH6DEcm8Vbi9kMRAm01AJ95gjr0/RR7uEkqUOpgt0tJadv8LgCfVk78<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">uNuYj2zthluNsnPjltdQNTQ=<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">=UYUq<o:p></o:p></span></p>

<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">-----END PGP SIGNATURE-----<o:p></o:p></span></p>

</div>

</body>

</html>