VMware se esfuerza por crear productos en los que nuestros clientes puedan confiar para las operaciones más importantes de sus empresas. Sabemos que solo si nuestros productos cumplen los más altos estándares de seguridad, los clientes podrán implementarlos con confianza. Esta política de respuesta de seguridad de VMware documenta nuestro compromiso por resolver posibles vulnerabilidades en nuestros productos para que nuestros clientes puedan estar seguros de que dichos problemas se corregirán a tiempo.

 

Clases de vulnerabilidades en los productos de VMware

Vulnerabilidades críticas

Vulnerabilidades que cualquier atacante no autenticado puede aprovechar desde Internet, o aquellas que atraviesan el aislamiento del sistema operativo invitado o host. Esta vulnerabilidad pone en riesgo toda la confidencialidad, la integridad y la disponibilidad de los datos o los recursos de procesamiento del usuario sin interactuar con él. Esta situación podría aprovecharse para propagar un gusano de Internet o ejecutar código arbitrario entre máquinas virtuales o el sistema operativo host.

 

Vulnerabilidades importantes

Vulnerabilidades que no se consideran críticas, pero cuya presencia pone en riesgo absoluto la confidencialidad o la integridad de los datos o los recursos de procesamiento del usuario, ya sea con su propia asistencia o por medio de atacantes autenticados. En esta categoría también se incluyen las vulnerabilidades que podrían comprometer la disponibilidad completamente si un atacante remoto no autenticado aprovechara la situación desde Internet o mediante una vulneración del aislamiento de la máquina virtual.

 

Vulnerabilidades moderadas

Vulnerabilidades que se pueden aprovechar de forma muy limitada gracias a la configuración o la dificultad de explotación, pero que en determinados escenarios de implementación podrían poner en peligro la confidencialidad, la integridad o la disponibilidad de los datos o los recursos de procesamiento del usuario.

 

Vulnerabilidades de poca importancia

El resto de problemas que afectan a la seguridad. Vulnerabilidades que se consideran extremadamente difíciles de aprovechar o en las que una explotación fructífera tendría una repercusión mínima.

 

Cómo informar de una vulnerabilidad

VMware anima a los usuarios que tengan conocimiento de una vulnerabilidad de seguridad en los productos de VMware a que se pongan en contacto con nosotros para informarnos. VMware ha destinado una dirección de correo electrónico específica para este fin. Envíe las descripciones de las vulnerabilidades a security@vmware.com. Incluya detalles sobre la configuración del software y el hardware de su sistema para que podamos duplicar el problema del que está informando.

 

Nota: Recomendamos el uso de correos electrónicos cifrados. Puede encontrar nuestra clave PGP pública en kb.vmware.com/s/article/1055.

 

VMware espera que los usuarios que identifiquen una vulnerabilidad nueva se pongan en contacto con nosotros en privado, ya que lo mejor para nuestros clientes es que VMware tenga la oportunidad de investigar y confirmar una posible vulnerabilidad antes de que se haga pública.

 

En caso de detectar vulnerabilidades en los componentes de software de terceros utilizados en los productos de VMware, informe también a VMware como se ha descrito anteriormente.

 

Respuesta de VMware a las vulnerabilidades notificadas de sus productos

Supervisión de las fuentes de vulnerabilidades de seguridad

VMware recibe informes privados sobre vulnerabilidades en su buzón de correo, por medio de los clientes y a través del personal de campo de VMware. VMware también supervisa los repositorios públicos de vulnerabilidades de seguridad de software para identificar vulnerabilidades descubiertas recientemente que pudiesen afectar a uno o más de nuestros productos.

 

Reconocimiento y análisis inicial

Después de recibir un informe sobre una vulnerabilidad, VMware clasificará el informe, y determinará qué productos están afectados y cuál es la gravedad de la vulnerabilidad. VMware proporcionará comentarios sobre la vulnerabilidad al informante y colaborará con él para solucionar el problema.

 

En el caso de un informe público en el que no haya una corrección disponible, VMware acusará recibo del informe publicando un artículo en la base de conocimientos. Esta información incluirá referencias a las fuentes públicas que notifiquen tal vulnerabilidad. Siempre que sea posible, incluirá las medidas que los usuarios pueden tomar para proteger su sistema VMware frente al aprovechamiento de la vulnerabilidad.

 

Solución o acción correctiva

VMware publicará una solución para la vulnerabilidad notificada. La corrección puede adoptar una o varias de estas formas:

  • Una nueva versión principal o secundaria del producto de VMware afectado.
  • Una nueva versión de mantenimiento o actualización del producto de VMware afectado.
  • Un parche que se puede instalar en el producto de VMware afectado.
  • Instrucciones para descargar e instalar una actualización o un parche para un componente de software de terceros que forme parte de la instalación del producto de VMware.
  • Un procedimiento correctivo o una solución alternativa que indique a los usuarios cómo ajustar la configuración del producto de VMware para mitigar la vulnerabilidad.

 

Notificación de VMware a los clientes

VMware notificará a sus clientes de la disponibilidad de cualquier solución o acción correctiva para una vulnerabilidad por los siguientes medios:

  • Artículo de la base de conocimientos de VMware o notas de la versión que detallen la solución o la acción correctiva.
  • Recomendación de seguridad de VMware que detalle la vulnerabilidad de seguridad e incluya una referencia al artículo de la base de conocimientos o a las notas de la versión.

Nota: Las recomendaciones de seguridad de VMware se publican en www.vmware.com/es/security/advisories y se envían a los suscriptores de la lista de correo de anuncios de seguridad de VMware. Para suscribirse a esta lista, escriba su dirección de correo electrónico en el cuadro «Regístrese para recibir recomendaciones de seguridad» de la página www.vmware.com/es/security/advisories.

 

Versiones de productos que VMware corregirá

En las políticas de ciclo de vida de VMware se especifican los plazos de soporte de software para ayudar a los clientes con las estrategias de versiones y con la toma de decisiones relacionadas con la gestión de cambios a largo plazo. Los clientes deben familiarizarse con la política de ciclo de vida de su producto.

 

El tiempo de respuesta al que VMware se compromete depende de la gravedad de la vulnerabilidad notificada.

Vulnerabilidad crítica

VMware empezará a trabajar en una solución o acción correctiva con carácter inmediato. VMware proporcionará la solución o acción correctiva a los clientes en el menor tiempo comercialmente razonable.

 

Vulnerabilidad importante

VMware proporcionará una solución en la próxima versión de mantenimiento o actualización planificada del producto y, cuando corresponda, publicará la corrección en forma de parche.

 

Vulnerabilidad moderada o de poca importancia

VMware proporcionará una solución con la siguiente versión secundaria o principal prevista del producto.