VMware arbeitet hart daran, Produkte zu entwickeln, denen unsere Kunden in den kritischsten Abläufen ihres Unternehmens vertrauen. Uns ist bewusst, dass Kunden unsere Produkte nur dann zuverlässig bereitstellen können, wenn diese Produkte die höchsten Sicherheitsstandards erfüllen. Diese VMware-Sicherheitsrichtlinie dokumentiert unsere Verpflichtungen zur Behebung möglicher Schwachstellen in unseren Produkten, damit unsere Kunden sicher sein können, dass solche Probleme rechtzeitig behoben werden.
Schwachstellen, die von einem nicht authentifizierten Angreifer über das Internet ausgenutzt werden können, oder Schwachstellen, die die Isolation des Gast-/Hostbetriebssystems verletzen. Durch die Ausnutzung werden Vertraulichkeit, Integrität und Verfügbarkeit von Anwenderdaten und/oder Verarbeitungsressourcen ohne Anwenderinteraktion vollständig kompromittiert. Durch die Ausnutzung kann ein Internet-Wurm verbreitet oder beliebiger Code zwischen virtuellen Maschinen und/oder dem Hostbetriebssystem ausgeführt werden.
Schwachstellen, die nicht als kritisch eingestuft werden, deren Ausnutzung jedoch die Vertraulichkeit und/oder Integrität von Anwenderdaten und/oder Verarbeitungsressourcen durch Anwender oder authentifizierte Angreifer vollständig kompromittiert. Diese Bewertung gilt auch für Schwachstellen, die zu einem vollständigen Verlust der Verfügbarkeit führen können, wenn ein nicht authentifizierter Remote-Angreifer sie über das Internet oder durch eine Verletzung der Isolation virtueller Maschinen ausnutzt.
Schwachstellen, deren Ausnutzung über die Konfiguration nahezu unterbunden wird oder sehr schwierig ist, die in bestimmten Bereitstellungsszenarien jedoch immer noch die Vertraulichkeit, Integrität oder Verfügbarkeit von Anwenderdaten und/oder Verarbeitungsressourcen kompromittieren kann.
Alle anderen Probleme, die sich auf die Sicherheit auswirken. Schwachstellen, deren Ausnutzung als extrem schwierig erachtet wird oder deren erfolgreiche Ausnutzung nur minimale Auswirkungen hätte.
VMware empfiehlt Anwendern, die eine Sicherheitsschwachstelle in VMware-Produkten bemerken, VMware über Details zu informieren. VMware hat eine E-Mail-Adresse eingerichtet, die zum Melden einer Schwachstelle verwendet werden sollte. Bitte senden Sie eine Beschreibung der gefundenen Schwachstellen an security@vmware.com. Geben Sie dabei auch Details zur Software- und Hardwarekonfiguration Ihres Systems an, damit wir das gemeldete Problem duplizieren können.
Hinweis: Wir empfehlen verschlüsselte E-Mails. Unseren öffentlichen PGP-Schlüssel finden Sie unter kb.vmware.com/s/article/1055.
VMware hofft, dass Anwender, die auf eine neue Schwachstelle stoßen, uns privat kontaktieren. Im Interesse seiner Kunden sollte VMware die Möglichkeit haben, eine vermutete Schwachstelle zu untersuchen und zu bestätigen, bevor sie an die Öffentlichkeit dringt.
Bei Schwachstellen in Softwarekomponenten von Drittanbietern, die in VMware-Produkten verwendet werden, benachrichtigen Sie bitte ebenfalls VMware wie oben beschrieben.
VMware erhält über seine Mailbox private Berichte von Kunden und VMware-Außendienstmitarbeitern zu Schwachstellen. VMware überwacht außerdem öffentliche Repositorys von Software-Sicherheitsschwachstellen, um neu erkannte Schwachstellen zu identifizieren, die sich auf eines oder mehrere unserer Produkte auswirken können.
Nach Erhalt eines Schwachstellenberichts prüft VMware den Bericht und ermittelt, welche Produkte betroffen sind und wie schwerwiegend die Schwachstelle ist. VMware gibt denjenigen, die die Schwachstelle gemeldet haben, eine Rückmeldung und arbeitet gemeinsam mit ihnen daran, das Problem zu beheben.
Im Fall eines öffentlichen Berichts, für den kein Fix verfügbar ist, bestätigt VMware den Bericht durch Veröffentlichung eines Knowledgebase-Artikels. Diese Informationen enthalten Verweise auf die öffentlichen Quellen, die die Schwachstelle melden. Sofern möglich, werden Schritte genannt, mit denen Anwender ihr VMware-System vor der Ausnutzung der Schwachstelle schützen können.
VMware veröffentlicht einen Fix für die gemeldete Schwachstelle. Der Fix kann eine oder mehrere der folgenden Formen annehmen:
Wenn ein Fix oder eine Korrekturmaßnahme für eine Schwachstelle verfügbar wird, benachrichtigt VMware seine Kunden folgendermaßen:
Hinweis: VMware Security Advisories werden unter www.vmware.com/de/security/advisories veröffentlicht und an Abonnenten der Mailingliste für VMware-Sicherheitsankündigungen gesendet. Sie können diese Liste abonnieren, indem Sie ihre E-Mail-Adresse in das Feld „Sicherheitshinweise abonnieren“ auf www.vmware.com/de/security/advisories eingeben.
VMware-Lebenszyklusrichtlinien präzisieren den zeitlichen Rahmen des Software-Supports und unterstützen Kunden im Hinblick auf langfristige Change-Management-Entscheidungen und Release-Strategien. Kunden sollten sich mit der Lebenszyklusrichtlinie ihres Produkts vertraut machen.
Die von VMware festgelegte Reaktionszeit hängt vom Schweregrad der gemeldeten Schwachstelle ab.
VMware arbeitet sofort an einem Fix oder einer Korrekturmaßnahme. VMware stellt Kunden den Fix oder die Korrekturmaßnahme innerhalb der kürzesten wirtschaftlich vertretbaren Zeit zur Verfügung.
VMware stellt mit dem nächsten geplanten Wartungs- oder Aktualisierungsrelease des Produkts einen Fix bereit und veröffentlicht den Fix gegebenenfalls in Form eines Patches.
VMware stellt mit dem nächsten geplanten Neben- oder Hauptrelease des Produkts einen Fix bereit.