Sobre o VMware Security Response Center

Uma das prioridades da VMware é preservar a confiança que os clientes depositam em nós. Reconhecemos que, a menos que nossos produtos atendam aos mais altos padrões de segurança, os clientes não poderão utilizá-los com confiança. Com o objetivo de alcançar isso, o VMware Security Response Center (vSRC) desenvolveu e mantém um programa para identificar, responder a e abordar vulnerabilidades. Esta publicação documenta nossas políticas para abordar vulnerabilidades em produtos corporativos e para clientes da VMware (locais). Também descreve sob quais circunstâncias emitimos um identificador de vulnerabilidades e exposições comuns (CVE, pela sigla em inglês) e um VMware Security Advisory (VMSA) e explica como relatar uma vulnerabilidade em código mantido pela VMware. Além disso, define a terminologia usada em nossas publicações e ações corretivas e documenta nosso compromisso com as práticas de porto seguro.

Como relatar vulnerabilidades

Processo para relatar vulnerabilidades ao VMware Security Response Center

Se você acredita ter encontrado uma vulnerabilidade em um produto ou serviço da VMware, informe-nos em um e-mail privado para security@vmware.com. Sugerimos o uso de um e-mail criptografado para enviar seus relatórios. Nossa chave PGP pública está disponível em kb.vmware.com/s/article/1055.

A VMware segue as diretrizes de divulgação responsável de vulnerabilidades. De acordo com elas, relator comunica em particular e diretamente à VMware a vulnerabilidade recém-descoberta nos produtos e serviços da VMware. Isso permite que a VMware aborde a vulnerabilidade no produto e nos serviços afetados antes que qualquer parte divulgue publicamente os detalhes da vulnerabilidade ou exploração. Caso o relator siga as diretrizes de divulgação responsável de vulnerabilidades, a VMware pode dar crédito a ele pela detecção e geração de relatórios de vulnerabilidades.

Se você é cliente da VMware, recomendamos que crie uma solicitação de suporte (SR, pela sigla em inglês) junto à equipe de serviços globais de suporte da VMware.

Entenda nosso processo

Processo do VMware Security Response Center para lidar com suspeitas de vulnerabilidade
Etapa 1

Receber e confirmar

Etapa 2

Fazer a triagem

Etapa 3

Investigar

Etapa 4

Corrigir

Etapa 5

Comunicar e dar crédito

Noções básicas sobre gravidade
e vulnerabilidades e exposições comuns

Definições de gravidade da VMware

As publicações da VMware utilizam o Common Vulnerability Scoring System (CVSS) padrão do setor, além da terminologia de gravidade qualitativa que se alinha aos padrões do FIRST.

Classificação qualitativa da VMware

Classificação qualitativa do FIRST

Pontuação do CVSS
Crítico
Crítico 9,0 - 10,0
Importante Alto 7,0 - 8,9
Moderado
Médio 4,0 - 6,9
Baixo Baixo 0,1 - 3,9
Nenhum
Nenhum
0,0

Observação: a classificação qualitativa da VMware pode mudar e não depende exclusivamente da pontuação do CVSS.

Identificadores de vulnerabilidades e exposições comuns:

Como uma entidade de numeração de CVE (CNA, pela sigla em inglês) aprovada, a VMware está autorizada a atribuir identificadores de CVE a vulnerabilidades que afetam produtos em nosso escopo distinto e acordado.

A VMware emitirá um identificador de CVE para uma vulnerabilidade quando ela atender a todos os seguintes critérios:

VMware Security Advisories

A VMware divulga vulnerabilidades no VMware Security Advisories. Os VMSAs contêm as seguintes informações:

  • Informações qualitativas de gravidade
  • Pontuação do CVSS
  • Conjuntos de produtos atualmente com suporte que foram afetados
  • Descrições das vulnerabilidades
  • Vetores de ataque conhecidos
  • Informações de correção
  • Soluções alternativas para vulnerabilidades críticas (se possível)
  • Notas informando se a exploração está acontecendo em produtos e serviços já lançados

Acompanhe as atualizações sobre as vulnerabilidades mais recentes

Soluções alternativas

Para a VMware, uma solução alternativa é uma alteração de configuração em vigor e com suporte que aborda vetores de ataque conhecidos para determinada vulnerabilidade. A VMware investigará possíveis soluções alternativas para vulnerabilidades críticas documentadas em VMSAs.

Porto seguro

As atividades conduzidas em conformidade com esta política serão consideradas conduta autorizada, e a VMware não moverá nenhuma ação legal contra você. Se uma ação legal for movida por um terceiro contra você em relação a atividades conduzidas em conformidade com esta política, agiremos para esclarecer que suas ações foram conduzidas em conformidade com esta política. 

Relatar uma vulnerabilidade à nossa equipe