VMware met tout en œuvre pour créer des produits fiables pour les opérations les plus stratégiques de ses entreprises. Nous reconnaissons que si nos produits ne respectent pas les normes de sécurité les plus strictes, les clients ne pourront pas déployer nos produits sereinement. La présente procédure de résolution des problèmes de sécurité de VMware décrit nos engagements à résoudre les éventuelles vulnérabilités de nos lignes de produits et à garantir à nos clients la correction des problèmes qui en découlent dans les meilleurs délais.

 

Classes de vulnérabilités des produits VMware

Vulnérabilités critiques

Vulnérabilités qui peuvent être exploitées par un cybercriminel non authentifié ou qui rompent l’isolement du système d’exploitation hôte/invité. Leur exploitation entraîne une compromission complète de la confidentialité, de l’intégrité et de la disponibilité des données utilisateur et/ou des ressources de traitement sans intervention de l’utilisateur. Elles peuvent être exploitées pour propager un ver informatique ou exécuter du code arbitraire entre des machines virtuelles et/ou sur le système d’exploitation hôte.

 

Vulnérabilités importantes

Vulnérabilités qui ne sont pas considérées comme critiques, mais dont l’exploitation entraîne une compromission complète de la confidentialité et/ou de l’intégrité des données utilisateur ou des ressources de traitement via l’assistance des utilisateurs ou par des cybercriminels authentifiés. Cette évaluation s’applique également aux vulnérabilités susceptibles d’entraîner une compromission complète de la disponibilité lorsqu’elles sont exploitées par un cybercriminel distant non authentifié ou via une violation de l’isolement de la machine virtuelle.

 

Vulnérabilités modérées

Vulnérabilités dont la capacité d’exploitation est limitée par la configuration ou la difficulté d’exploitation, mais qui, dans certains scénarios de déploiement, peuvent compromettre la confidentialité, l’intégrité ou la disponibilité des données utilisateur et/ou des ressources de traitement.

 

Vulnérabilités faibles

Tous les autres problèmes ayant un impact sur la sécurité. Vulnérabilités dont l’exploitation est jugée extrêmement difficile, ou pour lesquelles une exploitation réussie aurait un impact minimal.

 

Comment signaler une vulnérabilité

VMware encourage les utilisateurs qui découvrent une vulnérabilité de sécurité dans les produits VMware à contacter VMware pour nous fournir les détails concernant cette vulnérabilité. VMware dispose d’une adresse e-mail dédiée aux signalements de vulnérabilités. Envoyez une description des vulnérabilités détectées à security@vmware.com. Veuillez inclure les informations concernant la configuration logicielle et matérielle de votre système afin que nous puissions dupliquer la résolution du problème signalé.

 

Remarque : nous vous recommandons d’utiliser des e-mails chiffrés. Notre clé PGP publique est disponible sur kb.vmware.com/s/article/1055.

 

VMware compte sur les utilisateurs rencontrant une nouvelle vulnérabilité pour nous contacter en privé, car il est dans l’intérêt de nos clients que VMware puisse étudier et confirmer une vulnérabilité présumée avant qu’elle ne devienne publique.

 

En cas de vulnérabilités détectées dans les composants logiciels tiers utilisés dans les produits VMware, veuillez également en informer VMware en suivant la procédure décrite ci-dessus.

 

Procédure de résolutions de vulnérabilités signalées de VMware dans ses produits

Surveillance des sources de vulnérabilité de sécurité

VMware reçoit des rapports privés sur les vulnérabilités via sa boîte de réception, de la part des clients et du personnel VMware sur le terrain. VMware surveille également les référentiels publics des vulnérabilités de sécurité logicielles afin d’identifier les nouvelles vulnérabilités susceptibles d’affecter un ou plusieurs de nos produits.

 

Analyse initiale et de reconnaissance

Après réception d’un rapport de vulnérabilité, VMware classe le rapport et détermine les produits affectés ainsi que la gravité de la vulnérabilité. VMware fera un retour à la personne à l’origine du signalement de la vulnérabilité et travaillera avec elle pour résoudre le problème.

 

Dans le cas d’un rapport public pour lequel aucun correctif n’est disponible, VMware accusera réception du rapport en publiant un article dans sa base de connaissances. Il inclura des références aux sources publiques ayant signalé la vulnérabilité. Dans la mesure du possible, les utilisateurs y trouveront également des informations concernant les mesures à prendre pour protéger leur système VMware contre l’exploitation de la vulnérabilité.

 

Correctif ou action corrective

VMware publiera un correctif pour la vulnérabilité signalée. Le correctif peut prendre une ou plusieurs des formes suivantes :

  • Une nouvelle version majeure ou mineure du produit VMware concerné
  • Une nouvelle version de maintenance ou une mise à jour du produit VMware concerné
  • Un correctif pouvant être installé sur le produit VMware concerné
  • Des instructions pour télécharger et installer une mise à jour ou un correctif pour un composant logiciel tiers inclus dans l’installation du produit VMware
  • Une procédure corrective ou une solution de contournement qui demande aux utilisateurs d’ajuster la configuration du produit VMware pour réduire la vulnérabilité

 

Notification au client VMware

Lorsqu’un correctif ou une action corrective pour une vulnérabilité est disponible, VMware informe ses clients de la manière suivante :

  • Article de la base de connaissances VMware et/ou notes de mise à jour qui détaillent le correctif ou l’action corrective.
  • Conseil de sécurité VMware qui détaille la vulnérabilité de sécurité et fournit une référence à l’article de la base de connaissances et/ou aux notes de mise à jour.

Remarque : les conseils de sécurité VMware sont publiés à l’adresse www.vmware.com/security/advisories et envoyés aux abonnées de la liste de mailing des annonces de sécurité VMware. Vous pouvez vous abonner à cette liste en saisissant votre adresse e-mail dans le champ « S’abonner aux conseils de sécurité » sur www.vmware.com/security/advisories.

 

Versions de produit corrigées par VMware

Les politiques de cycle de vie VMware précisent les échéances de support logiciel afin d’aider les clients à prendre des décisions concernant le changement à long terme et à mettre en œuvre des stratégies de mise à disposition. Les clients doivent se familiariser avec la politique de cycle de vie de leur produit.

 

Le temps de réponse de VMware dépend de la gravité de la vulnérabilité signalée.

Critique

VMware commencera immédiatement à travailler sur un correctif ou une action corrective. VMware fournira le correctif ou l’action corrective aux clients dans les plus brefs délais sur le plan commercial.

 

Importante

VMware intégrera un correctif lors de la prochaine maintenance planifiée ou de la prochaine version de mise à jour du produit et, le cas échéant, VMware publiera le correctif sous la forme d’un correctif.

 

Modérée, faible

VMware intégrera un correctif dans la prochaine version mineure ou majeure prévue du produit.