A VMware trabalha com afinco para criar produtos confiáveis para os clientes nas operações mais essenciais de suas empresas. Reconhecemos que, a menos que nossos produtos atendam aos mais altos padrões de segurança, os clientes não poderão implantá-los com confiança. Esta política de resposta de segurança da VMware documenta nosso compromisso em resolver possíveis vulnerabilidades de nossos produtos para que os clientes possam ter certeza de que tais problemas serão corrigidos em tempo hábil.

 

Classes de vulnerabilidades em produtos VMware

Vulnerabilidades críticas

Vulnerabilidades que podem ser exploradas por um invasor não autenticado na Internet ou aquelas que interrompem o isolamento do sistema operacional guest/host. A exploração causa o comprometimento total da confidencialidade, integridade e disponibilidade dos dados do usuário e/ou recursos de processamento sem interação do usuário. A exploração pode ser aproveitada para propagar um worm na Internet ou executar código arbitrário entre máquinas virtuais e/ou o sistema operacional host.

 

Vulnerabilidades importantes

Vulnerabilidades que não são classificadas como críticas, mas cuja exploração causa o comprometimento total da confidencialidade e/ou integridade dos dados do usuário e/ou recursos de processamento com a assistência do usuário ou por invasores autenticados. Essa classificação também é válida para as vulnerabilidades que podem levar ao comprometimento total da disponibilidade quando a exploração é feita por um invasor remoto não autenticado na Internet ou por uma violação do isolamento da máquina virtual.

 

Vulnerabilidades moderadas

Vulnerabilidades em que a capacidade de exploração é reduzida a um grau significativo pela configuração ou dificuldade de exploração, mas, em determinados cenários de implantação, ainda pode causar o comprometimento da confidencialidade, integridade ou disponibilidade dos dados do usuário e/ou recursos de processamento.

 

Vulnerabilidades baixas

Todos os outros problemas que afetam a segurança. Vulnerabilidades em que a exploração é considerada extremamente difícil ou em que a exploração bem-sucedida teria um impacto mínimo.

 

Como relatar uma vulnerabilidade

A VMware incentiva que os usuários que tomarem conhecimento de uma vulnerabilidade de segurança nos produtos VMware entrem em contato com a VMware para apresentar os detalhes da vulnerabilidade. A VMware criou um endereço de e-mail que deve ser usado para relatar uma vulnerabilidade. Envie descrições das vulnerabilidades encontradas para security@vmware.com. Inclua detalhes sobre a configuração de software e hardware de seu sistema para que possamos reproduzir o problema que está sendo relatado.

 

Observação: encorajamos o uso de e-mail criptografado. Nossa chave PGP pública se encontra em kb.vmware.com/s/article/1055.

 

A VMware espera que os usuários que encontrarem uma nova vulnerabilidade entrem em contato conosco em particular, pois é do interesse de nossos clientes que a VMware tenha a oportunidade de investigar e confirmar uma vulnerabilidade suspeita antes que ela se torne de conhecimento público.

 

No caso de vulnerabilidades encontradas em componentes de software de terceiros usados em produtos VMware, também notifique a VMware conforme descrito acima.

 

Resposta da VMware a vulnerabilidades relatadas em seus produtos

Fontes de vulnerabilidade de segurança monitoradas

A VMware recebe por e-mail relatórios privados sobre vulnerabilidades enviados por clientes e pelo pessoal de campo da VMware. A VMware também monitora repositórios públicos de vulnerabilidades de segurança de software para identificar vulnerabilidades recém-descobertas que possam afetar um ou mais de nossos produtos.

 

Reconhecimento e análise inicial

Após o recebimento de um relatório de vulnerabilidade, a VMware analisará o relatório e definirá quais produtos são afetados e qual é a gravidade da vulnerabilidade. A VMware fornecerá feedback sobre a vulnerabilidade ao relator e trabalhará com ele para corrigir o problema.

 

No caso de um relatório público em que não há correção disponível, a VMware reconhecerá o relatório publicando um artigo da base de conhecimento. Essas informações incluirão referências às fontes públicas que relataram a vulnerabilidade. Sempre que possível, elas incluirão etapas que os usuários podem seguir para proteger o sistema VMware deles contra a exploração da vulnerabilidade.

 

Correção ou ação corretiva

A VMware lançará uma correção para a vulnerabilidade relatada. A correção pode ter um ou mais dos seguintes formatos:

  • Uma nova versão principal ou secundária do produto VMware afetado
  • Uma nova versão de manutenção ou atualização do produto VMware afetado
  • Um patch que pode ser instalado no produto VMware afetado
  • Instruções para fazer download e instalar uma atualização ou patch para um componente de software de terceiros que faz parte da instalação do produto VMware
  • Um procedimento corretivo ou uma solução provisória que orienta os usuários a ajustar a configuração do produto VMware para reduzir a vulnerabilidade

 

Notificação ao cliente VMware

Quando uma correção ou ação corretiva para uma vulnerabilidade for disponibilizada, a VMware notificará seus clientes pelos seguintes meios:

  • Artigo da base de conhecimento da VMware e/ou notas da versão que detalham a correção ou ação corretiva
  • Aviso de segurança da VMware que detalha a vulnerabilidade de segurança e referencia o artigo da base de conhecimento e/ou as notas da versão

Observação: os avisos de segurança da VMware são publicados em www.vmware.com/security/advisories e são enviados para assinantes da lista de e-mails de comunicados sobre segurança da VMware. É possível se inscrever nessa lista inserindo o endereço de e-mail na caixa "www.vmware.com/br/security/advisories" em www.vmware.com/br/security/advisories.

 

Versões do produto que a VMware corrigirá

As políticas do ciclo de vida da VMware especificam os cronogramas de suporte de software para ajudar os clientes em decisões de gerenciamento de alterações e estratégias de liberação de longo prazo. Os clientes devem se familiarizar com a política do ciclo de vida de seu produto.

 

O tempo de resposta definido da VMware depende da gravidade da vulnerabilidade relatada.

Crítico

A VMware começará a trabalhar em uma correção ou ação corretiva imediatamente. A VMware apresentará a correção ou ação corretiva aos clientes no menor tempo comercialmente razoável.

 

Importante

A VMware fornecerá uma correção na próxima versão planejada de manutenção ou atualização do produto e, quando relevante, a VMware lançará a correção em forma de patch.

 

Moderado, baixo

A VMware fornecerá uma correção com a próxima versão secundária ou principal planejada do produto.