VMware met tout en œuvre pour créer des produits fiables pour les opérations les plus stratégiques de ses entreprises. Nous reconnaissons que si nos produits ne respectent pas les normes de sécurité les plus strictes, les clients ne pourront pas déployer nos produits sereinement. La présente procédure de résolution des problèmes de sécurité de VMware décrit nos engagements à résoudre les éventuelles vulnérabilités de nos lignes de produits et à garantir à nos clients la correction des problèmes qui en découlent dans les meilleurs délais.
Vulnérabilités qui peuvent être exploitées par un cybercriminel non authentifié ou qui rompent l’isolement du système d’exploitation hôte/invité. Leur exploitation entraîne une compromission complète de la confidentialité, de l’intégrité et de la disponibilité des données utilisateur et/ou des ressources de traitement sans intervention de l’utilisateur. Elles peuvent être exploitées pour propager un ver informatique ou exécuter du code arbitraire entre des machines virtuelles et/ou sur le système d’exploitation hôte.
Vulnérabilités qui ne sont pas considérées comme critiques, mais dont l’exploitation entraîne une compromission complète de la confidentialité et/ou de l’intégrité des données utilisateur ou des ressources de traitement via l’assistance des utilisateurs ou par des cybercriminels authentifiés. Cette évaluation s’applique également aux vulnérabilités susceptibles d’entraîner une compromission complète de la disponibilité lorsqu’elles sont exploitées par un cybercriminel distant non authentifié ou via une violation de l’isolement de la machine virtuelle.
Vulnérabilités dont la capacité d’exploitation est limitée par la configuration ou la difficulté d’exploitation, mais qui, dans certains scénarios de déploiement, peuvent compromettre la confidentialité, l’intégrité ou la disponibilité des données utilisateur et/ou des ressources de traitement.
Tous les autres problèmes ayant un impact sur la sécurité. Vulnérabilités dont l’exploitation est jugée extrêmement difficile, ou pour lesquelles une exploitation réussie aurait un impact minimal.
VMware encourage les utilisateurs qui découvrent une vulnérabilité de sécurité dans les produits VMware à contacter VMware pour nous fournir les détails concernant cette vulnérabilité. VMware dispose d’une adresse e-mail dédiée aux signalements de vulnérabilités. Envoyez une description des vulnérabilités détectées à security@vmware.com. Veuillez inclure les informations concernant la configuration logicielle et matérielle de votre système afin que nous puissions dupliquer la résolution du problème signalé.
Remarque : nous vous recommandons d’utiliser des e-mails chiffrés. Notre clé PGP publique est disponible sur kb.vmware.com/s/article/1055.
VMware compte sur les utilisateurs rencontrant une nouvelle vulnérabilité pour nous contacter en privé, car il est dans l’intérêt de nos clients que VMware puisse étudier et confirmer une vulnérabilité présumée avant qu’elle ne devienne publique.
En cas de vulnérabilités détectées dans les composants logiciels tiers utilisés dans les produits VMware, veuillez également en informer VMware en suivant la procédure décrite ci-dessus.
VMware reçoit des rapports privés sur les vulnérabilités via sa boîte de réception, de la part des clients et du personnel VMware sur le terrain. VMware surveille également les référentiels publics des vulnérabilités de sécurité logicielles afin d’identifier les nouvelles vulnérabilités susceptibles d’affecter un ou plusieurs de nos produits.
Après réception d’un rapport de vulnérabilité, VMware classe le rapport et détermine les produits affectés ainsi que la gravité de la vulnérabilité. VMware fera un retour à la personne à l’origine du signalement de la vulnérabilité et travaillera avec elle pour résoudre le problème.
Dans le cas d’un rapport public pour lequel aucun correctif n’est disponible, VMware accusera réception du rapport en publiant un article dans sa base de connaissances. Il inclura des références aux sources publiques ayant signalé la vulnérabilité. Dans la mesure du possible, les utilisateurs y trouveront également des informations concernant les mesures à prendre pour protéger leur système VMware contre l’exploitation de la vulnérabilité.
VMware publiera un correctif pour la vulnérabilité signalée. Le correctif peut prendre une ou plusieurs des formes suivantes :
Lorsqu’un correctif ou une action corrective pour une vulnérabilité est disponible, VMware informe ses clients de la manière suivante :
Remarque : les conseils de sécurité VMware sont publiés à l’adresse www.vmware.com/security/advisories et envoyés aux abonnées de la liste de mailing des annonces de sécurité VMware. Vous pouvez vous abonner à cette liste en saisissant votre adresse e-mail dans le champ « S’abonner aux conseils de sécurité » sur www.vmware.com/security/advisories.
Les politiques de cycle de vie VMware précisent les échéances de support logiciel afin d’aider les clients à prendre des décisions concernant le changement à long terme et à mettre en œuvre des stratégies de mise à disposition. Les clients doivent se familiariser avec la politique de cycle de vie de leur produit.
Le temps de réponse de VMware dépend de la gravité de la vulnérabilité signalée.
VMware commencera immédiatement à travailler sur un correctif ou une action corrective. VMware fournira le correctif ou l’action corrective aux clients dans les plus brefs délais sur le plan commercial.
VMware intégrera un correctif lors de la prochaine maintenance planifiée ou de la prochaine version de mise à jour du produit et, le cas échéant, VMware publiera le correctif sous la forme d’un correctif.
VMware intégrera un correctif dans la prochaine version mineure ou majeure prévue du produit.