Über das VMware Security Response Center
Das Vertrauen, das unsere Kunden in uns setzen, hat für VMware höchste Priorität. Uns ist bewusst, dass Kunden unsere Produkte nur dann zuverlässig nutzen können, wenn diese Produkte die höchsten Sicherheitsstandards erfüllen. Zu diesem Zweck bietet das VMware Security Response Center (vSRC) ein Programm für den Umgang mit Schwachstellen: Identifizieren, Reagieren und Beseitigen. Diese Veröffentlichung dokumentiert unsere Richtlinien zum Beheben von Schwachstellen in VMware-Produkten für Unternehmen und Verbraucher (On-Premises), beschreibt, unter welchen Umständen wir eine CVE-Kennung und ein VMware Security Advisory (VMSA) ausgeben, erläutert, wie eine Schwachstelle in von VMware verwaltetem Code gemeldet wird. definiert die in unseren Veröffentlichungen und Korrekturmaßnahmen verwendete Terminologie und dokumentiert unser Engagement für Safe Harbor-Praktiken.
Melden von Schwachstellen
Melden von Schwachstellen an das VMware Security Response Center
Wenn Sie glauben, eine Schwachstelle in einem VMware-Produkt oder -Service gefunden zu haben, teilen Sie uns dies bitte in einer privaten E-Mail an security@vmware.com mit. Wir empfehlen, für die Übermittlung Ihrer Berichte verschlüsselte E-Mails zu verwenden. Sie finden unseren öffentlichen PGP-Schlüssel unter kb.vmware.com/s/article/1055.
VMware befolgt die Richtlinien zur verantwortungsbewussten Offenlegung von Schwachstellen, nach denen der Entdecker die neue Schwachstelle in VMware-Produkten und -Services direkt privat an VMware meldet. Dadurch kann VMware die Schwachstelle in den betroffenen Produkten und Services beheben, bevor jemand Details zu der Schwachstelle/dem Exploit veröffentlicht. VMware kann den Entdecker, der die Richtlinien zur verantwortungsbewussten Offenlegung von Schwachstellen befolgt, eine Anerkennung für das Entdecken und Melden einer Schwachstelle gewähren.
Wenn Sie VMware-Kunde sind, empfehlen wir Ihnen, eine Support-Anfrage an das VMware Global Support Services-Team zu stellen.
Unser Prozess
Prozess des VMware Security Response Center zum Umgang mit mutmaßlichen Schwachstellen
Schritt 1
Empfangen und Bestätigen
Schritt 2
Einordnen
Schritt 3
Recherchieren
Schritt 4
Beseitigen
Schritt 5
Kommunizieren und Anerkennen
Verstehen des Schweregrads und
der häufigsten Schwachstellen und Risiken
VMware-Definitionen des Schweregrads
VMware-Veröffentlichungen nutzen das dem Branchenstandard entsprechende Common Vulnerability Scoring System (CVSS) zusätzlich zur Terminologie für qualitative Schweregrade, die den FIRST-Standards entspricht.
Qualitative VMware-Bewertung |
Qualitative FIRST-Bewertung |
CVSS-Bewertung |
| Kritisch |
Kritisch | 9,0–10,0 |
| Wichtig | Hoch | 7,0–8,9 |
| Mäßig |
Mittel | 4,0–6,9 |
| Niedrig | Niedrig | 0,1–3,9 |
| Keine |
Keine |
0,0 |
Hinweis: Die qualitative VMware-Bewertung kann sich ändern und hängt nicht nur von der CVSS-Bewertung ab.
Kennungen der häufigsten Schwachstellen und Risiken (Common Vulnerabilities and Exposures, CVE)
Als genehmigte CVE Numbering Authority (CNA) ist VMware berechtigt, Schwachstellen, die Produkte innerhalb unseres spezifischen, vereinbarten Umfangs betreffen, CVE-Kennungen zuzuweisen.
VMware vergibt eine CVE-Kennung für eine Schwachstelle, wenn sie alle der folgenden Kriterien erfüllt:
- Die Schwachstelle ist das Ergebnis unerwarteten Verhaltens in VMware-verwaltetem Code.
- Die Schwachstelle führt zu einer messbaren Beeinträchtigung der Vertraulichkeit, Integrität oder Verfügbarkeit.
- Die Schwachstelle besteht in einem oder mehreren derzeit unterstützten VMware-Produkten, die in der Matrix der VMware-Produktlebenszyklen dokumentiert sind, oder die Schwachstelle besteht in einem VMware-verwalteten Open Source-Projekt, das derzeit unterstützt wird.
VMware Security Advisories (VMSAs)
VMware veröffentlicht Schwachstellen in VMware Security Advisories. VMSAs enthalten die folgenden Informationen:
- Qualitative Informationen zum Schweregrad
- CVSS-Bewertung
- Betroffene derzeit unterstützte Produkt-Suites
- Schwachstellenbeschreibungen
- Derzeit bekannte Angriffsvektoren
- Informationen zur Remediation
- Workarounds für Schwachstellen mit kritischem Schweregrad (falls möglich)
- Hinweise mit Informationen dazu, ob Exploits in der Praxis auftreten
Bleiben Sie über die neuesten Schwachstellen auf dem Laufenden
Workarounds
VMware definiert einen Workaround als unterstützte In-Place-Konfigurationsänderung, die derzeit bekannte Angriffsvektoren für eine bestimmte Schwachstelle beseitigt. VMware untersucht potenzielle Workarounds für in VMSAs dokumentierte Schwachstellen mit kritischem Schweregrad.
Safe Harbor
Alle Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt werden, werden als autorisiertes Verhalten betrachtet und VMware wird keine rechtlichen Schritte gegen Sie einleiten. Wenn ein Dritter im Zusammenhang mit Aktivitäten im Rahmen dieser Richtlinie rechtliche Schritte gegen Sie einleitet, werden wir Maßnahmen ergreifen, um bekannt zu geben, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.