À propos de VMware Security Response Center
L’une des priorités absolues de VMware est de maintenir la confiance que nous accordent nos clients. Nous reconnaissons que si nos produits ne respectent pas les normes de sécurité les plus strictes, les clients ne pourront pas les utiliser sereinement. Dans cette optique, le VMware Security Response Center (vSRC) applique un programme d’identification, de résolution et de traitement des vulnérabilités. La présente publication documente nos procédures de gestion des vulnérabilités impliquant des produits VMware pour entreprises et particuliers (on premise), décrit les circonstances dans lesquelles nous générons un identifiant CVE et un conseil de sécurité VMware (VMSA), explique comment signaler une vulnérabilité dans le code géré par VMware, définit la terminologie utilisée dans nos publications et nos actions correctives, et documente notre application des règles « Safe Harbor ».
Comment signaler des vulnérabilités
Procédure de signalement des vulnérabilités à VMware Security Response Center
Si vous pensez avoir identifié une vulnérabilité dans un produit ou un service VMware, faites-le nous savoir en envoyant un e-mail privé à l’adresse .security@vmware.com. Nous vous suggérons d’envoyer vos signalements par e-mail chiffré. Notre clé PGP publique est disponible à l’adresse kb.vmware.com/s/article/1055.
VMware respecte des directives pour la divulgation responsable des vulnérabilités, selon lesquelles le chargé de recherche signale de manière privée la nouvelle vulnérabilité identifiée dans les produits et services VMware directement à VMware. VMware peut alors corriger la vulnérabilité dans le produit et les services concernés avant que ses détails ne soient publiquement divulgués. VMware peut mentionner le chargé de recherche conformément aux directives de divulgation responsable des vulnérabilités comme la personne ayant identifié et signalé la vulnérabilité.
Si vous êtes un client VMware, nous vous conseillons de créer une demande de support (SR) auprès de l’équipe des services de support mondiaux de VMware.
Comprendre notre procédure
Procédure du VMware Security Response Center pour traiter les vulnérabilités suspectées
Étape 1
Réception et accuser-réception
Étape 2
Tri
Étape 3
Recherche
Étape 4
Correction
Étape 5
Communiquer et mentionner
Compréhension de la gravité et
des vulnérabilités et expositions courantes
Définitions des niveaux de gravité VMware
Les publications VMware utilisent le système commun de notation des vulnérabilités (CVSS) en plus de la terminologie des niveaux de gravité qualitatifs basée sur les normes FIRST
Notation qualitative VMware |
Notation qualitative FIRST |
Score CVSS |
| Critique |
Critique | 9,0 - 10,0 |
| Importante | Élevée | 7,0 - 8,9 |
| Modérée |
Moyenne | 4,0 - 6,9 |
| Faible | Faible | 0,1 - 3,9 |
| Aucun |
Aucun |
0,0 |
Remarque : La notation qualitative de VMware peut changer et ne dépend pas uniquement de la notation CVSS.
Identifiants CVE (Common Vulnerabilities and Exposures) :
En tant qu’autorité de numérotation CVE (CVE Numbering Authority, CNA) approuvée, VMware est habilité à attribuer des identifiants CVE aux vulnérabilités affectant les produits dans le cadre de son champ d’application distinct et convenu.
VMware doit affecter un identifiant CVE à une vulnérabilité lorsque cette dernière répond à tous les critères suivants :
- La vulnérabilité est le résultat d’un comportement inattendu dans le code géré par VMware.
- La vulnérabilité entraîne une violation mesurable de la confidentialité, de l’intégrité ou de la disponibilité.
- La vulnérabilité est présente dans un ou plusieurs produits VMware actuellement pris en charge et documentés dans la Matrice du cycle de vie des produits VMware ou elle est présente dans un projet open source géré par VMware actuellement pris en charge.
Conseils de sécurité VMware (VMSA)
VMware divulgue les vulnérabilités dans les Conseils de sécurité VMware. Les conseils VMSA incluent les informations suivantes :
- Informations qualitatives sur la gravité
- Notation CVSS
- Suites de produits concernées actuellement prises en charge
- Description des vulnérabilités
- Vecteurs d’attaque actuellement connus
- Informations sur la correction
- Solutions de contournement pour les vulnérabilités de gravité critique (si possible)
- Remarques confirmant si l’exploitation est observée dans la nature
Se tenir informé des dernières vulnérabilités
Solutions de contournement
VMware définit une solution de contournement sous la forme d’un changement de la configuration sur place qui corrige les vecteurs d’attaque actuellement connus pour une vulnérabilité donnée. VMware cherchera des solutions de contournement potentielles pour les vulnérabilités de gravité critique documentées dans les conseils VMSA.
Safe Harbor
Toute activité menée conformément à la présente procédure sera considérée comme un comportement autorisé et VMware n’engagera aucune poursuite judiciaire contre vous. Si une action en justice est engagée par un tiers contre vous en lien avec des activités menées dans le cadre de cette procédure, nous prendrons des mesures pour faire savoir que vos actions ont été menées en conformité avec cette procédure.