VMware 致力于构建客户在其企业的大多数关键操作中信赖的虚拟基础架构产品。我们意识到，如果我们的产品不能满足最高安全标准，客户就无法充满信心地部署它们。此 VMware 安全响应策略记录了我们对解决我们产品中可能存在的漏洞的承诺，这样我们的客户就可以放心，任何此类问题都可以得到及时纠正。

查看我们的安全响应摘要表。

如何将漏洞告知 VMware

VMware 鼓励发现 VMware 产品中存在安全漏洞的用户与 VMware 联系，并提供有关漏洞的详细信息。VMware 已确定了一个用来通知漏洞的电子邮件地址。请将关于所发现漏洞的描述发送至安全部门。请在邮件中提供有关系统的软件和硬件配置的详细信息，以便我们可以重现所报告的问题。我们还鼓励客户使用我们基于 Web 的支持请求系统以将漏洞告知我们。

VMware 希望遇到新漏洞的用户私下与我们联系，因为这样做最能保证我们客户的利益，这样 VMware 才有机会在公众知道之前调查并确认可疑的漏洞。

对于在用于 VMware 产品中的第三方软件组件中发现的漏洞，请同样按上述方式通知 VMware。

VMware 产品中的漏洞类别

优先级 1

• 可提高本地用户或进程在主机系统上的权限的漏洞
• 可提供对主机系统的远程访问的漏洞，包括允许在主机上执行任意代码的缓冲区溢出
• 可操作本地主机系统文件以及与 VMware 应用程序和虚拟机文件相关的文件权限的漏洞
• 导致主机系统崩溃或长时间不可用的漏洞

优先级 2

• 允许主机系统登录/身份验证拒绝服务或强制执行的漏洞
• 导致意外消耗主机内存、磁盘空间或其他系统资源的漏洞
• 导致本地客户系统崩溃或长时间不可用的漏洞
• 可提高本地用户或进程在客户系统上的权限的漏洞

优先级 3

• 允许客户系统登录/身份验证拒绝服务或强制执行的漏洞
• 导致意外消耗客户内存、磁盘空间或其他系统资源的漏洞
• 导致主机或客户虚拟机配置信息泄露或导致其他私人信息泄漏的漏洞
• VMware 远程客户端软件中的漏洞，包括加密漏洞、中间人攻击和其他要求使用“恶意”VMware 服务器的漏洞

VMware 对已公布漏洞的响应

受监视的安全漏洞源

VMware 监视多个软件安全漏洞公用库，以发现可能会影响我们某种产品的新漏洞。我们监视的漏洞源包括：

• Bugtraq 邮件列表和存档文件 http://www.securityfocus.com/archive/1
• 计算机紧急响应小组网站 http://www.cert.org/
• Neohapsis 安全存档文件 http://archives.neohapsis.com/
• 提供 VMware 产品中使用的软件组件的公司和组织的网站
• 发送至安全部门的报告

响应举措

VMware 对公布的安全漏洞的响应将包括下面列出的措施。

确认及初始分析

VMware 的第一个响应措施是将漏洞发布到 VMware 知识库（位于 http://www.vmware.com/kb），确认 VMware 已知道报告的漏洞。发布的知识库文章将包含对报告此漏洞的公共源的引用。如果可能，此知识库发布内容还将包括用户可用来防止其 VMware 系统受到漏洞攻击的步骤。如果未提供纠正措施，则知识库文章将说明 VMware 提供修复措施的预期时间。

如果漏洞最初是通过网站或邮件列表报告的，则 VMware 将在该邮件列表或网站上发布消息，指引用户查看知识库中关于漏洞确认的文章。VMware 会对发布到外部邮件列表和网站上的内容进行数字签名，以确保真实性。

如果 VMware 发现报告的漏洞不存在，则会将对该结果的响应发布到 VMware 知识库和源邮件列表或网站上。

修复或纠正措施

VMware 的下一个响应措施将是发布对所报告漏洞的修复。修复可采用以下形式中的一种或多种：

• 受影响 VMware 产品的新的主要版本
• 受影响 VMware 产品的新的次要版本（“点”版本）
• 可安装在受影响 VMware 产品上的修补程序
• 对属于 VMware 产品安装一部分的第三方软件组件的更新或修补程序的下载和安装说明
• 通过指导用户调整 VMware 产品配置以消除漏洞的纠正过程或解决方法

VMware 客户通知

如果已提供了修复或纠正措施，VMware 将通过以下方式通知客户：

• 通过电子邮件通知那些使用了受影响产品的所有在录 VMware 客户。电子邮件将发送给所有注册的 VMware 许可证管理员和支持管理员，即使他们没有选择使用他们的 VMware 帐户配置文件设置接收来自 VMware 的电子邮件，也是如此。此通知策略符合 VMware 隐私条例。
• 修复或纠正措施的详细信息将发布到 VMware 知识库。类似的信息会发布到报告网站或邮件列表上。

VMware 将修复的产品版本

VMware 产品版本有三个数字，其格式如下：x.y.z。位于 x 位置的数字表示主要版本。位于 y 位置的数字表示次要版本或产品更新。z位置表示对维护版本的次要修订版。

VMware 将对支持的产品主要版本的最新版提供安全漏洞修复或纠正措施。（有关 VMware 支持的产品版本说明，请参见 VMware 支持策略。）不过对 VMware ESX 的规定不同，VMware 将对前六个月发布的任何次要产品版本提供修复。例如，如果最新发布的产品的版本号是 5.2.0，VMware 将为 5.2.0 版本提供纠正措施或修补程序，或为版本号为 5.2.1 或 5.3.0 的次要版本提供修复。对于 VMware ESX，如果在五个月前发布了 5.1.0 版本，则 VMware 也会为该版本发布纠正措施或 5.1.1 修补程序版本。如果更早的版本号 4.5.0 仍受 VMware 支持，则 VMware 将为 4.5.0 版本提供纠正措施或修补程序，或在版本号为 4.5.1 的次要版本提供修复。

响应承诺

VMware 承诺的响应时间取决于所报告的漏洞的优先级别。

优先级 1

VMware 将立即开始从事修复或纠正措施。VMware 将在最短的商业合理时间内为客户提供修复或纠正措施。

优先级 2

VMware 将随产品的下一个计划的次要版本提供修复或纠正措施。

优先级 3

VMware 将随产品的下一个计划的主要版本提供修复或纠正措施。

第三方组件

对于在与 VMware 产品一起提供的、VMware 从第三方获取的软件组件中发现的漏洞，VMware 将如同对待其他种类的漏洞一样提供确认和初始分析。对于 VMware 包括的没有进行任何源代码修改的那些第三方组件，VMware 将在第三方提供商提供时提供修复。

客户访问带有安全修复的软件版本

拥有产品的有效支持和升级定购服务的 VMware 客户有权使用包括安全修复的任何新修补程序或版本（主要或次要版本）。没有有效支持和升级定购合同的 VMware Workstation 客户在购买之日后的 18 个月内有权收到次要版本和修补程序。

查看我们的安全响应摘要表。

支持 > 支持策略