VMware met tout en œuvre pour créer des produits d’infrastructure virtuelle sur lesquels nos clients peuvent compter lors des opérations les plus critiques de leur entreprise. Nous sommes conscient que, si nos produits ne répondent pas aux normes les plus élevées de sécurité, les clients ne pourront pas les déployer en toute confiance. Cette politique de sécurité VMware décrit notre engagement à résoudre les éventuelles vulnérabilités susceptibles d’affecter nos produits et à garantir à nos clients la correction de tels problèmes dans les meilleurs délais.

Classes de vulnérabilités dans les produits VMware

Priorité 1

• Vulnérabilités augmentant les privilèges d’un utilisateur ou d’un processus local sur le système hôte
• Vulnérabilités fournissant un accès à distance au système hôte, y compris les surcharges de mémoire tampon qui permettent l’exécution d’un code arbitraire sur l’hôte
• Vulnérabilités permettant la manipulation de fichiers locaux du système hôte et des droits sur les fichiers d’applications et de machines virtuelles VMware
• Vulnérabilités entraînant une panne ou une indisponibilité du système hôte pour une durée indéterminée

Priorité 2

• Vulnérabilités permettant une connexion/un refus d’authentification de service ou une attaque en force sur le système hôte
• Vulnérabilités entraînant une consommation indésirée de mémoire, d’espace disques ou d’autres ressources systèmes sur le système hôte
• Vulnérabilités entraînant une panne ou une indisponibilité du système invité local pour une durée indéterminée
• Vulnérabilités augmentant les privilèges d’un utilisateur ou d’un processus local sur le système invité

Priorité 3

• Vulnérabilités permettant une connexion/un refus d’authentification de service ou une attaque en force sur un système invité
• Vulnérabilités entraînant une consommation non désirée de mémoire, d’espace disques ou d’autres ressources système sur un système invité
• Vulnérabilités exposant les informations de configuration de machine virtuelle hôte ou invitée, ou entraînant l’exposition d’informations privées
• Vulnérabilités dans le logiciel client distant VMware (faiblesses de cryptage, attaques par “ une tierce personne et autres vulnérabilités nécessitant l’utilisation de serveurs VMware « malveillants »)

Réponse de VMware aux vulnérabilités signalées publiquement

Sources de vulnérabilité de sécurité surveillées

VMware consulte en permanence plusieurs référentiels publics de vulnérabilités de sécurité des logiciels afin d’identifier les toutes dernières vulnérabilités pouvant avoir un impact sur l’un de nos produits. Nous consultons notamment les sources suivantes :

• Liste de diffusion et archives Bugtraq : http://www.securityfocus.com/archive/1
• Site Web de l’équipe de réponse aux urgences informatiques (Computer Emergency Response Team) : http://www.cert.org/
• Archives de sécurité Neohapsis à l’adresse http://archives.neohapsis.com/
• Sites Web des sociétés et organisations fournissant des composants logiciels utilisés dans les produits VMware
• Rapports envoyés au service de sécurité

Actions de réponse

La réponse de VMware à une vulnérabilité de sécurité publiée prend la forme d’une des actions répertoriées ci-dessous.

Attestation et analyse initiale

La première réponse de VMware consiste à publier un article dans la base de connaissances VMware (à l’adresse http://www.vmware.com/kb) pour confirmer la prise de connaissance de la vulnérabilité signalée. Cet article comprend des références aux sources publiques signalant la vulnérabilité. Chaque fois que possible, il décrit les mesures que les utilisateurs peuvent prendre pour protéger leur système VMware contre la vulnérabilité. Si aucune action corrective n’est proposée, l’article de la base de connaissances indique dans quel délai VMware prévoit de fournir un correctif.

Si la vulnérabilité a été signalée initialement via un site Web ou une liste de diffusion, VMware publie un message vers cette liste de diffusion ou sur ce site Web pour renvoyer les utilisateurs à l’attestation de l’article de la base de connaissances. VMware appose sa signature électronique sur tous les articles postés vers les listes de diffusion et les sites Web externes pour garantir leur authenticité.

Si VMware découvre que la vulnérabilité signalée n’existe pas, une réponse à ce sujet est publiée dans la base de connaissances VMware, ainsi que vers les listes de diffusion ou les sites Web d’origine.

Correctif ou action corrective

La réponse suivante de VMware consiste à créer un correctif pour la vulnérabilité signalée. Il peut prendre l’une des formes suivantes :

• Une nouvelle version majeure du produit VMware affecté
• Une nouvelle version mineure (version "ponctuelle") du produit VMware affecté
• Un correctif peut être installé sur le produit VMware affecté
• Des instructions pour le téléchargement et l’installation d’une mise à jour ou d’un correctif pour un composant logiciel tiers faisant partie de l’installation du produit VMware
• Une procédure corrective ou une solution de contournement invitant les utilisateurs à modifier la configuration du produit VMware pour atténuer la vulnérabilité

Notification aux clients VMware

Lorsqu’un correctif ou une action corrective devient disponible, VMware en informe ses clients par les moyens suivants :

• Tous les clients enregistrés utilisant le produit affecté sont avertis par e-mail. L’e-mail est envoyé à tous les administrateurs de licences et de support VMware enregistrés, même s’ils ont choisi de ne pas recevoir d’e-mail de VMware dans les paramètres de leur profil de compte VMware. Cette procédure de notification est conforme à la politique de respect de la vie privée VMware.
• Les détails du correctif ou de l’action corrective sont publiés dans la base de connaissances VMware. Des informations similaires sont publiées sur les sites Web ou vers les listes de diffusion qui ont signalé le problème.

Versions de produits corrigées par VMware

Une version de produit VMware s’identifie à l’aide de trois chiffres inscrits selon le format x.y.z. Le chiffre figurant à la position x identifie une version majeure. Celui à la position y identifie une version mineure ou une mise à jour du produit. La position z indique une révision mineure relative à des versions de maintenance.

VMware fournit des correctifs ou des actions correctives pour les vulnérabilités portant atteinte à la sécurité des dernières versions majeures prises en charge d’un produit. (Reportez-vous à la politique de support VMware pour plus de détails sur les versions prises en charge par VMware.) Une exception est faite pour VMware ESX Server, pour lequel VMware fournit des correctifs pour toutes les versions mineures commercialisées au cours des six mois précédents. Par exemple, si la toute dernière version d’un produit est identifiée par le numéro 5.2.0, VMware fournit une action corrective ou un correctif pour les versions 5.2.0, ou un correctif sous forme de version mineure portant le numéro 5.2.1 ou 5.3.0. Dans le cas d’ESX Server, si une version 5.1.0 a été mise sur le marché cinq mois auparavant, VMware met également à disposition une action corrective pour cette version ou une version corrective 5.1.1. Si une version antérieure 4.5.0 est toujours prise en charge par VMware, VMware fournit une action corrective ou un correctif pour la version 4.5.0, ou un correctif sous forme de version mineure portant le numéro 4.5.1.

Engagements en termes de réponse

Le temps de réponse sur lequel VMware s’engage dépend du niveau de priorité de la vulnérabilité signalée.

Priorité 1

VMware commence à travailler sur un correctif ou une action corrective immédiatement. VMware fournit le correctif ou l’action corrective aux clients dans les meilleurs délais commercialement raisonnables.

Priorité 2

VMware fournit un correctif ou une action corrective avec la prochaine version mineure planifiée du produit.

Priorité 3

VMware fournit un correctif ou une action corrective avec la prochaine version majeure planifiée du produit.

Composants tiers

Pour les vulnérabilités détectées dans les composants logiciels tiers accompagnant les produits VMware, VMware fournit une attestation et une analyse initiale comme pour les autres classes de vulnérabilités. Pour les composants tiers inclus par VMware sans modification du code source, VMware fournit un correctif dès lors qu’il est mis à disposition par le fournisseur tiers.

Accès des clients à des versions de logiciel comprenant des correctifs de sécurité

Les clients VMware disposant d’un support actif et d’un service d’abonnement pour un produit bénéficient de tous les nouveaux correctifs ou de toutes les nouvelles versions (majeures ou mineures) incluant des correctifs de sécurité. Les clients VMware Workstation ne disposant pas d’un support actif ni de contrats d’abonnement ont droit aux versions mineures et aux correctifs pendant les 18 mois suivant la date d’achat.

Accueil  > Support et téléchargements  > Politiques de support  > Politiques de support