<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:"Calibri",sans-serif;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">-----BEGIN PGP SIGNED MESSAGE-----<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Hash: SHA1<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">- - ------------------------------------------------------------------------<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VMware Security Advisory<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Advisory ID: VMSA-2018-0029<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Severity:&nbsp;&nbsp;&nbsp; Critical<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Synopsis:&nbsp;&nbsp;&nbsp; vSphere Data Protection (VDP) updates address<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;multiple security issues.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Issue date:&nbsp; 2018-11-20<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Updated on:&nbsp; 2018-11-20 (Initial Advisory)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">CVE number:&nbsp; CVE-2018-11066, CVE-2018-11067, CVE-2018-11076, CVE-2018-11077<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">1. Summary<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; vSphere Data Protection (VDP) updates address<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; multiple security issues.
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">2. Relevant Products<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; vSphere Data Protection (VDP). VDP is based on Dell EMC Avamar
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;Virtual Edition.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">3. Problem Description<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; a. Remote code execution vulnerability.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP contains a remote code execution vulnerability. A remote
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;unauthenticated attacker could potentially exploit this
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;vulnerability to execute arbitrary commands on the server.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; The Common Vulnerabilities and Exposures project (cve.mitre.org) has<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; assigned the identifier CVE-2018-11066 to this issue.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Column 5 of the following table lists the action required to<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; remediate the vulnerability in each release, if a solution is<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; available.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Replace with/&nbsp;&nbsp;&nbsp;&nbsp; Mitigation/<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Severity&nbsp; Apply Patch&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Workaround<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; ==========&nbsp; =========&nbsp; =======&nbsp; ========&nbsp; ================&nbsp; ==========<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.1.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Critical&nbsp; 6.1.10&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.0.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Critical&nbsp; 6.0.9&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; b. Open redirection vulnerability.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;VDP contains an open redirection vulnerability. A remote unauthenticated<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; attacker could potentially exploit this vulnerability to redirect
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;application users to arbitrary web URLs by tricking the victim users to
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;click on maliciously crafted links. The vulnerability could be used to
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;conduct phishing attacks that cause users to unknowingly visit malicious<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; sites.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;The Common Vulnerabilities and Exposures project (cve.mitre.org) has<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; assigned the identifier CVE-2018-11067 to this issue.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Column 5 of the following table lists the action required to<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; remediate the vulnerability in each release, if a solution is<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; available.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Replace with/&nbsp;&nbsp;&nbsp;&nbsp; Mitigation/<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Severity&nbsp; Apply Patch&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Workaround<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; ==========&nbsp; =========&nbsp; =======&nbsp; ========&nbsp; ================&nbsp; ==========<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.1.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Important 6.1.10&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.0.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Important 6.0.9&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; c. Information exposure vulnerability.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP contains an information exposure vulnerability. VDP Java
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;management console&#8217;s SSL/TLS private key may be leaked in the VDP
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;Java management client package. The private key could potentially be
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;used by an unauthenticated attacker on the same data-link layer to
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;initiate a MITM attack on management console users.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; The Common Vulnerabilities and Exposures project (cve.mitre.org) has<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; assigned the identifier CVE-2018-11076 to this issue.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Column 5 of the following table lists the action required to<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; remediate the vulnerability in each release, if a solution is<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; available.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Replace with/&nbsp;&nbsp;&nbsp;&nbsp; Mitigation/<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Severity&nbsp; Apply Patch&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Workaround<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; ==========&nbsp; =========&nbsp; =======&nbsp; ========&nbsp; ================&nbsp; ==========<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.1.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Important 6.1.9&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.0.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Important 6.0.9&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; d. Command injection vulnerability.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; The 'getlogs' troubleshooting utility in VDP contains an OS command
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;injection vulnerability. A malicious admin user may potentially be able
<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;to execute arbitrary commands under root privilege.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; The Common Vulnerabilities and Exposures project (cve.mitre.org) has<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; assigned the identifier CVE-2018-11077 to this issue.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Column 5 of the following table lists the action required to<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; remediate the vulnerability in each release, if a solution is<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; available.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp; Running&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Replace with/&nbsp;&nbsp;&nbsp;&nbsp; Mitigation/<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Product&nbsp;&nbsp;&nbsp;&nbsp; Version&nbsp;&nbsp;&nbsp; on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Severity&nbsp; Apply Patch&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Workaround<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; ==========&nbsp; =========&nbsp; =======&nbsp; ========&nbsp; ================&nbsp; ==========<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.1.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Moderate&nbsp; 6.1.10&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VDP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6.0.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Moderate&nbsp; 6.0.9&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">4. Solution<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Please review the patch/release notes for your product and version and<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; verify the checksum of your downloaded file.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; vSphere Data Protection 6.1.10<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Downloads and Documentation:<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://my.vmware.com/group/vmware/details?productId=491<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; &amp;downloadGroup=VDP6110<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://www.vmware.com/support/pubs/vdr_pubs.html<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; vSphere Data Protection 6.0.9<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Downloads and Documentation:<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://my.vmware.com/web/vmware/details?productId=491<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; &amp;downloadGroup=VDP60_9<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://www.vmware.com/support/pubs/vdr_pubs.html<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">5. References<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11066<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11067<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11076<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11077<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">- - -------------------------------------------------------------------------<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">6. Change log<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; 2018-11-20 VMSA-2018-0029<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Initial security advisory in conjunction with the release of VMware<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; vSphere Data Protection 6.1.10 on 2018-11-20<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">- - -------------------------------------------------------------------------<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">7. Contact<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; E-mail list for product security notifications and announcements:<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; http://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; This Security Advisory is posted to the following lists:<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp; security-announce at lists.vmware.com<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp; bugtraq at securityfocus.com<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp;&nbsp;&nbsp; fulldisclosure at seclists.org<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; E-mail: security at vmware.com<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; PGP key at: https://kb.vmware.com/kb/1055<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware Security Advisories<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://www.vmware.com/security/advisories<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware Security Response Policy<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://www.vmware.com/support/policies/security_response.html<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware Lifecycle Support Phases<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://www.vmware.com/support/policies/lifecycle.html<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; VMware Security &amp; Compliance Blog<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://blogs.vmware.com/security<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Twitter<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; https://twitter.com/VMwareSRC<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">&nbsp;&nbsp; Copyright 2018 VMware Inc.&nbsp; All rights reserved.<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">-----BEGIN PGP SIGNATURE-----<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Version: Encryption Desktop 10.4.1 (Build 490)<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">Charset: utf-8<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;"><o:p>&nbsp;</o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">wj8DBQFb9EH6DEcm8Vbi9kMRAm01AJ95gjr0/RR7uEkqUOpgt0tJadv8LgCfVk78<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">uNuYj2zthluNsnPjltdQNTQ=<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">=UYUq<o:p></o:p></span></p>
<p class="MsoPlainText"><span style="font-size:10.0pt;font-family:&quot;Courier New&quot;">-----END PGP SIGNATURE-----<o:p></o:p></span></p>
</div>
</body>
</html>