VMware

VMware setzt alles daran, Produkte für virtuelle Infrastrukturen zu erstellen, die unsere Kunden auch in den kritischsten Unternehmensbereichen einsetzen können. Unserer Meinung nach können unsere Kunden diese Produkte erst dann bedenkenlos einsetzen, wenn diese die höchsten Sicherheitsanforderungen erfüllen. Diese VMware Sicherheitsrichtlinie dokumentiert unseren Einsatz für die Eliminierung möglicher Schwachstellen in unseren Produkten, so dass unsere Kunden die Gewissheit haben, dass etwaige Probleme schnell behoben werden.

Hier sehen Sie eine zusammenfassende Tabelle zu unserer Sicherheitsrichtlinie.

VMware über eine Schwachstelle informieren

VMware ermutigt alle Anwender, denen eine Sicherheitslücke in einem VMware Produkt bekannt wird, VMware Details hierüber zukommen zu lassen. VMware hat zu diesem Zweck eine E-Mail-Adresse eingerichtet. Senden Sie Informationen zu Schwachstellen an Sicherheit. Fügen Sie Details zur Software- und Hardware-Konfiguration Ihres Systems hinzu, so dass wir das betreffende Problem reproduzieren können. Wir ermutigen unsere Kunden außerdem, das Support-Anforderungssystem auf unserer Webseite zu nutzen, um uns auf Schwachstellen hinzuweisen.

VMware hofft, dass sich Anwender, die neue Schwachstellen entdecken, vertraulich an uns wenden, da es im Interesse unserer Kunden liegt, dass VMware die Möglichkeit erhält, eine mögliche Schwachstelle zu untersuchen und zu bestätigen, bevor diese öffentlich bekannt wird.

Sollten Sie in den Softwarekomponenten von Drittanbietern, die in VMware-Produkten verwendet werden, eine Schwachstelle entdecken, benachrichtigen Sie VMware bitte ebenfalls wie zuvor beschrieben.

Klassen von Schwachstellen in VMware-Produkten

Priorität 1
  • Schwachstellen, die die Rechte lokaler Benutzer oder Prozesse auf dem Serversystem erweitern
  • Schwachstellen, die einen Remote-Zugriff auf das Serversystem ermöglichen (einschließlich Pufferüberläufe, die die Ausführung von Fremdcode auf dem Server ermöglichen)
  • Schwachstellen, die lokale Dateien und Dateiberechtigungen zur VMware-Anwendung und den Dateien von virtuellen Maschinen auf dem Serversystem manipulieren
  • Schwachstellen, die zum Blockieren des Serversystems oder zu Ausfällen mit unbestimmter Dauer führen
Priorität 2
  • Schwachstellen, die das Anmelden/Authentifizieren am Serversystem verhindern bzw. erzwingen
  • Schwachstellen, die zu unerwünschter Speicherbelegung führen oder den Speicherplatz sowie andere Systemressourcen belegen
  • Schwachstellen, die zum Blockieren des lokalen Gastsystems oder zu Ausfällen mit unbestimmter Dauer führen
  • Schwachstellen, die die Rechte lokaler Benutzer oder Prozesse auf dem Gastsystem erweitern
Priorität 3
  • Schwachstellen, die das Anmelden/Authentifizieren am Gastsystem verhindern bzw. erzwingen
  • Schwachstellen, die zu unerwünschter Gastspeicherbelegung führen oder den Speicherplatz sowie andere Systemressourcen belegen
  • Schwachstellen, die die Konfigurationsinformationen von virtuellen Maschinen auf dem Server- oder Gastsystem gefährden oder persönliche Daten offen legen
  • Schwachstellen in der Remote Client-Software von VMware, einschließlich kryptografische Schwächen, Man-in-the-Middle-Angriffe und andere Probleme, die die Verwendung "bösartiger" VMware-Server erfordern

Aufgaben von VMware im Fall öffentlich bekannt gewordener Schwachstellen

Überwachung der Quellen von Sicherheitsschwachstellen

VMware überwacht verschiedene öffentliche Informationsquellen zu Software-Schwachstellen, um neue Probleme zu identifizieren, die eines unserer Produkte betreffen könnten. Folgende Quellen werden überwacht:

Maßnahmen

Die Reaktion von VMware auf eine öffentlich bekannt gewordene Schwachstelle umfasst die nachfolgend beschriebenen Maßnahmen.

Bestätigung und erste Analyse

Der erste Schritt von VMware besteht in einer Veröffentlichung in der VMware Knowledgebase (unter http://www.vmware.com/kb). Hierdurch wird bestätigt, dass VMware die gemeldete Schwachstelle bekannt ist. Der in der Knowledgebase veröffentlichte Artikel enthält auch Verweise auf die öffentlichen Quellen der Schwachstellenmeldung. Nach Möglichkeit enthält dieser Artikel in der Knowledgebase Anleitungen dazu, wie die Anwender ihr VMware System schützen können. Werden keine Korrekturmaßnahmen aufgeführt, enthält der Artikel in der Knowledgebase einen Hinweis auf den erwarteten Zeitrahmen für die Bereitstellung eines Fixes von VMware.

Wurde die Schwachstelle zuerst über eine Webseite oder Mailing-Liste gemeldet, veröffentlicht VMware dort einen Hinweis auf die Knowledgebase. VMware signiert alle Veröffentlichungen in externen Mailing-Listen digital, um die Authentizität zu gewährleisten.

Sollte VMware nachweisen können, dass die gemeldete Schwachstelle nicht existiert, wird ein entsprechender Hinweis in der VMware-Knowledgebase und auf den Quellen-Webseiten/Mailing-Listen veröffentlicht.

Fix oder Korrekturmaßnahme

Der nächste Schritt von VMware umfasst die Veröffentlichung eines Fixes zur gemeldeten Schwachstelle. Dieser Fix kann in einer oder mehreren der folgenden Formen vorliegen:

  • Eine neue Hauptversion des betroffenen VMware Produkts
  • Eine neue Unterversion ("Punktversion") des betroffenen VMware Produkts
  • Ein Patch, der zusätzlich zum betroffenen VMware Produkt installiert werden kann
  • Anweisungen zum Herunterladen und Installieren eines Updates oder Patches zu einer Software-Komponente eines Drittanbieters, die Teil der VMware Produktinstallation ist
  • Eine Korrekturmaßnahme oder Behelfslösung mit Anweisungen, nach denen die Anwender die Konfiguration des VMware Produkts so ändern können, dass die Schwachstelle beseitigt wird

Kundenbenachrichtigung durch VMware

Steht ein Fix/eine Korrekturmaßnahme zur Verfügung, benachrichtigt VMware seine Kunden wie folgt:

  • Alle VMware Kunden, die für das betreffende Produkt registriert sind, werden per E-Mail benachrichtigt. Die E-Mail wird an alle registrierten VMware Lizenzadministratoren und Support-Administratoren versendet. Der Versand erfolgt auch dann, wenn diese in ihrem VMware Kundenprofil angegeben haben, keine E-Mail von VMware erhalten zu wollen. Diese Benachrichtigungsrichtlinie entspricht der VMware-Datenschutzrichtlinie.
  • Details zum Fix/zur Korrekturmaßnahme werden in der VMware Knowledgebase veröffentlicht. Ähnliche Informationen werden auf der Quellen-Webseite bzw. in den Mailing-Listen veröffentlicht.

Produktversionen, die von VMware korrigiert werden

Eine VMware Produktversion besteht aus drei Zahlen im Format x.y.z. Die Ziffer an der Position x bezeichnet eine Hauptversion. Die Ziffer an der Position y bezeichnet eine Unterversion oder ein Produkt-Update. Die Ziffer an der Position z bezeichnet eine Unterversion zu Wartungszwecken.

VMware bietet Fixes für Sicherheitslücken bzw. Korrekturmaßnahmen für die jeweils letzten Ausgaben der unterstützten Hauptversionen eines Produkts. (Siehe hierzu die VMware-Support-Richtlinie. Hier finden Sie eine Erläuterung der von VMware unterstützten Produktversionen.) Eine Ausnahme besteht im Fall von VMware ESX Server. Hier stellt VMware Fixes für alle Unterversionen zur Verfügung, die in den vergangenen sechs Monaten veröffentlicht wurden. Lautet die Versionsnummer des zuletzt ausgelieferten Produkts beispielsweise 5.2.0, stellt VMware eine Korrekturmaßnahme/einen Patch für die Version 5.2.0 bzw. einen Fix für die Unterversionen 5.2.1 oder 5.3.0 bereit. Wurde im Fall von ESX Server beispielsweise fünf Monate zuvor die Version 5.1.0 veröffentlicht, gibt VMware auch eine Korrekturmaßnahme für diese Version heraus. Diese trägt dann die Versionsnummer 5.1.1. Wird eine frühere Version mit der Nummer 4.5.0 noch immer von VMware unterstützt, stellt VMware eine Korrekturmaßnahme/einen Patch für die Version 4.5.0 bzw. einen Fix mit der Unterversion 4.5.1 zur Verfügung.

Reaktionsverpflichtungen

Die verbindliche Reaktionszeit von VMware variiert je nach Prioritätsstufe der gemeldeten Schwachstelle.

Priorität 1

VMware beginnt sofort mit der Entwicklung eines Fixes/einer Korrekturmaßnahme. VMware stellt den Kunden den Fix/die Korrekturmaßnahme in der aus kommerzieller Sicht kürzestmöglichen Zeit zur Verfügung.

Priorität 2

VMware liefert einen Fix/eine Korrekturmaßnahme mit der nächsten geplanten Unterversion des Produkts aus.

Priorität 3

VMware liefert einen Fix/eine Korrekturmaßnahme mit der nächsten geplanten Hauptversion des Produkts aus.

Komponenten von Drittanbietern

Schwachstellen in den Software-Komponenten von VMware, die von Drittanbietern stammen, werden von VMware so wie die übrigen Schwachstellen bestätigt und analysiert. Bei Komponenten, die VMware ohne Änderungen des Quellcodes übernimmt, stellt VMware einen Fix zur Verfügung, sobald dieser vom jeweiligen Drittanbieter veröffentlicht wird.

Kundenzugriff auf Software-Versionen mit Sicherheits-Fixes

VMware-Kunden mit aktivem Support- und Wartungs-Service für ein Produkt sind berechtigt, alle neuen Patches und Versionen (Haupt- und Unterversionen) eines Produkts zu erhalten, wenn diese Sicherheits-Fixes umfassen. VMware Workstation-Kunden ohne aktive Support- und Wartungsverträge sind für einen Zeitraum von 18 Monaten ab Kauf berechtigt, Unterversionen und Patches zu erhalten.

Hier sehen Sie eine zusammenfassende Tabelle unserer Sicherheitsrichtlinie.

VMware Konto

Bestellungen anzeigen, Produkte registrieren, Lizenzdateien erstellen und aktualisieren.