<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:8pt;color:#000000;font-family:'Courier New',monospace;" dir="ltr">
<div>-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
- ------------------------------------------------------------------------<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; VMware Security Advisory<br>
<br>
Advisory ID: VMSA-2019-0004<br>
Severity: Critical<br>
Synopsis: VMware vCloud Director for Service Providers update resolves<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; a Remote Session Hijack vulnerability<br>
Issue date: 2019-03-28<br>
Updated on: 2019-03-28 (Initial Advisory)<br>
CVE numbers: CVE-2019-5523<br>
<br>
1. Summary<br>
VMware vCloud Director for Service Providers update resolves a Remote<br>
Session Hijack vulnerability.<br>
<br>
2. Relevant Products<br>
VMware vCloud Director for Service Providers (vCD)<br>
<br>
3. Problem Description<br>
<br>
VMware vCloud Director for Service Providers update resolves a Remote<br>
Session Hijack vulnerability in the Tenant and Provider Portals.<br>
Successful exploitation of this issue may allow a malicious actor to<br>
access the Tenant or Provider Portals by impersonating a currently<br>
logged in session.<br>
<br>
VMware would like to thank Tyler Flaagan, Eric Holm, Andrew Kramer,<br>
and Logan Stratton of Dakota State University for reporting this issue<br>
to us.<br>
<br>
The Common Vulnerabilities and Exposures project (cve.mitre.org) has<br>
assigned the identifier CVE-2019-5523 to this issue.<br>
<br>
Column 5 of the following table lists the action required to mitigate<br>
the vulnerability in each release, if a solution is available.<br>
<br>
&nbsp; VMware&nbsp;&nbsp;&nbsp; Product Running&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Replace with/&nbsp;&nbsp; Mitigation<br>
&nbsp; Product&nbsp;&nbsp; Version on&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Severity&nbsp; Apply patch&nbsp;&nbsp;&nbsp;&nbsp; Workaround<br>
&nbsp; ========= ======= ======= ========= ==============&nbsp; ==========<br>
&nbsp;&nbsp;&nbsp;&nbsp; vCD&nbsp;&nbsp;&nbsp;&nbsp; 9.7.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Any&nbsp;&nbsp;&nbsp; N/A&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Unaffected&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<br>
&nbsp;&nbsp;&nbsp;&nbsp; vCD&nbsp;&nbsp;&nbsp;&nbsp; 9.5.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Any&nbsp;&nbsp; Critical&nbsp;&nbsp; 9.5.0.3&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<br>
&nbsp;&nbsp;&nbsp;&nbsp; vCD&nbsp;&nbsp;&nbsp;&nbsp; 9.1.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Any&nbsp;&nbsp;&nbsp; N/A&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Unaffected&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<br>
&nbsp;&nbsp;&nbsp;&nbsp; vCD&nbsp;&nbsp;&nbsp;&nbsp; 9.0.x&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Any&nbsp;&nbsp;&nbsp; N/A&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Unaffected&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; None<br>
<br>
<br>
4. Solution<br>
<br>
Please review the patch/release notes for your product and version and<br>
verify the checksum of your downloaded file.<br>
<br>
VMware vCloud Director for Service Providers 9.5.0.3<br>
Documentation and Downloads:<br>
https://my.vmware.com/en/web/vmware/info/slug/datacenter_cloud_<br>
infrastructure/vmware_vcloud_director/9_5<br>
<br>
5. References<br>
<br>
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5523<br>
<br>
<br>
6. Change log<br>
<br>
2019-03-28: VMSA-2019-0004<br>
<br>
Initial security advisory in conjunction with the release of VMware<br>
vCloud Director for Service Providers 9.5.0.3 on 2019-03-28.<br>
<br>
7. Contact<br>
<br>
E-mail list for product security notifications and announcements:<br>
https://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce<br>
<br>
This Security Advisory is posted to the following lists:<br>
<br>
&nbsp; security-announce@lists.vmware.com<br>
&nbsp; bugtraq@securityfocus.com<br>
&nbsp; fulldisclosure@seclists.org<br>
<br>
E-mail: security@vmware.com<br>
PGP key at:https://kb.vmware.com/kb/1055<br>
<br>
VMware Security Advisories<br>
https://www.vmware.com/security/advisories<br>
<br>
VMware Security Response Policy<br>
https://www.vmware.com/support/policies/security_response.html<br>
<br>
VMware Lifecycle Support Phases<br>
https://www.vmware.com/support/policies/lifecycle.html<br>
<br>
VMware Security &amp; Compliance Blog &nbsp;<br>
https://blogs.vmware.com/security<br>
<br>
Twitter<br>
https://twitter.com/VMwareSRC<br>
<br>
Copyright 2019 VMware Inc. All rights reserved.<br>
<br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: Encryption Desktop 10.4.1 (Build 490)<br>
Charset: utf-8<br>
<br>
wj8DBQFcnZzJDEcm8Vbi9kMRAr5PAJ4w4ivvs&#43;mgSno80favOSLC2x6pwQCeMLsg<br>
jKAk1A&#43;1DTrlPst7ZDLiq1Q=<br>
=bi4&#43;<br>
-----END PGP SIGNATURE-----<br>
<br>
</div>
<br>
</div>
</body>
</html>