À propos de VMware Security Response Center

L’une des priorités absolues de VMware est de maintenir la confiance que nous accordent nos clients. Nous reconnaissons que si nos produits ne respectent pas les normes de sécurité les plus strictes, les clients ne pourront pas les utiliser sereinement. Dans cette optique, le VMware Security Response Center (vSRC) applique un programme d’identification, de résolution et de traitement des vulnérabilités. La présente publication documente nos procédures de gestion des vulnérabilités impliquant des produits VMware pour entreprises et particuliers (on premise), décrit les circonstances dans lesquelles nous générons un identifiant CVE et un conseil de sécurité VMware (VMSA), explique comment signaler une vulnérabilité dans le code géré par VMware, définit la terminologie utilisée dans nos publications et nos actions correctives, et documente notre application des règles « Safe Harbor ».

Comment signaler des vulnérabilités

Procédure de signalement des vulnérabilités à VMware Security Response Center

Si vous pensez avoir identifié une vulnérabilité dans un produit ou un service VMware, faites-le nous savoir en envoyant un e-mail privé à l’adresse .security@vmware.com. Nous vous suggérons d’envoyer vos signalements par e-mail chiffré. Notre clé PGP publique est disponible à l’adresse kb.vmware.com/s/article/1055.

VMware respecte des directives pour la divulgation responsable des vulnérabilités, selon lesquelles le chargé de recherche signale de manière privée la nouvelle vulnérabilité identifiée dans les produits et services VMware directement à VMware. VMware peut alors corriger la vulnérabilité dans le produit et les services concernés avant que ses détails ne soient publiquement divulgués. VMware peut mentionner le chargé de recherche conformément aux directives de divulgation responsable des vulnérabilités comme la personne ayant identifié et signalé la vulnérabilité.

Si vous êtes un client VMware, nous vous conseillons de créer une demande de support (SR) auprès de l’équipe des services de support mondiaux de VMware.

Comprendre notre procédure

Procédure du VMware Security Response Center pour traiter les vulnérabilités suspectées
Étape 1

Réception et accuser-réception

Étape 2

Tri

Étape 3

Recherche

Étape 4

Correction

Étape 5

Communiquer et mentionner

Compréhension de la gravité et
des vulnérabilités et expositions courantes

Définitions des niveaux de gravité VMware

Les publications VMware utilisent le système commun de notation des vulnérabilités (CVSS) en plus de la terminologie des niveaux de gravité qualitatifs basée sur les normes FIRST

Notation qualitative VMware

Notation qualitative FIRST

Score CVSS
Critique
Critique 9,0 - 10,0
Importante Élevée 7,0 - 8,9
Modérée
Moyenne 4,0 - 6,9
Faible Faible 0,1 - 3,9
Aucun
Aucun
0,0

Remarque : La notation qualitative de VMware peut changer et ne dépend pas uniquement de la notation CVSS.

Identifiants CVE (Common Vulnerabilities and Exposures) :

En tant qu’autorité de numérotation CVE (CVE Numbering Authority, CNA) approuvée, VMware est habilité à attribuer des identifiants CVE aux vulnérabilités affectant les produits dans le cadre de son champ d’application distinct et convenu.

VMware doit affecter un identifiant CVE à une vulnérabilité lorsque cette dernière répond à tous les critères suivants :

Conseils de sécurité VMware (VMSA)

VMware divulgue les vulnérabilités dans les Conseils de sécurité VMware. Les conseils VMSA incluent les informations suivantes :

  • Informations qualitatives sur la gravité
  • Notation CVSS
  • Suites de produits concernées actuellement prises en charge
  • Description des vulnérabilités
  • Vecteurs d’attaque actuellement connus
  • Informations sur la correction
  • Solutions de contournement pour les vulnérabilités de gravité critique (si possible)
  • Remarques confirmant si l’exploitation est observée dans la nature

Se tenir informé des dernières vulnérabilités

Solutions de contournement

VMware définit une solution de contournement sous la forme d’un changement de la configuration sur place qui corrige les vecteurs d’attaque actuellement connus pour une vulnérabilité donnée. VMware cherchera des solutions de contournement potentielles pour les vulnérabilités de gravité critique documentées dans les conseils VMSA.

Safe Harbor

Toute activité menée conformément à la présente procédure sera considérée comme un comportement autorisé et VMware n’engagera aucune poursuite judiciaire contre vous. Si une action en justice est engagée par un tiers contre vous en lien avec des activités menées dans le cadre de cette procédure, nous prendrons des mesures pour faire savoir que vos actions ont été menées en conformité avec cette procédure. 

Signaler une vulnérabilité à notre équipe