VMware 努力构建客户信赖的企业最关键运维产品。我们认识到,除非我们的产品满足最高的安全标准,否则客户将无法自信地部署这些产品。本 VMware 安全响应政策记录了我们对消除产品中可能存在的漏洞的承诺,旨在向我们的客户保证,任何此类问题都将得到及时纠正。

 

VMware 产品漏洞分类

严重漏洞

未经身份验证的攻击者可以利用的 Internet 漏洞,或破坏客户机/主机操作系统隔离的漏洞。这种利用会导致在没有用户交互的情况下,用户数据和/或处理资源的机密性、完整性和可用性完全遭到破坏。攻击者可利用这种漏洞来传播 Internet 蠕虫或在虚拟机和/或主机操作系统之间执行任意代码。

 

重要漏洞

未被划为“严重”等级的漏洞,但经由用户协助或经身份验证攻击者利用会导致用户数据和/或处理资源的保密性和/或完整性遭到完全破坏。此评级还适用于以下漏洞:在未经身份验证的远程攻击者从 Internet 或通过虚拟机隔离漏洞进行利用时可能导致可用性完全受到破坏。

 

中危漏洞

符合以下条件的漏洞:通过配置或利用难度在很大程度上降低了利用能力,但在某些部署场景中,仍可能导致用户数据和/或处理资源的保密性、完整性或可用性受到影响。

 

低危漏洞

产生安全影响的所有其他问题。被认为利用极其困难或成功利用将产生最小影响的漏洞。

 

如何报告漏洞

VMware 鼓励在 VMware 产品中发现安全漏洞的用户联系 VMware 并提供漏洞的详细信息。VMware 已创建用于报告漏洞的电子邮件地址。请将发现的任何漏洞描述发送至 security@vmware.com。请提供有关您的系统的软件和硬件配置的详细信息,以便我们复制所报告的问题。

 

注意:建议使用加密电子邮件。有关我们的公共 PGP 密钥,请访问 kb.vmware.com/s/article/1055

 

VMware 希望遇到新漏洞的用户私下与我们联系,因为这样可让 VMware 有机会先调查并确认可疑漏洞,然后将其公之于众,这符合客户的最大利益。

 

如果 VMware 产品中使用的第三方软件组件存在漏洞,请同样按上述方式通知 VMware。

 

VMware 对其产品中所报告漏洞的应对措施

监控安全漏洞源

VMware 通过其邮箱从客户和 VMware 一线员工那里接收有关漏洞的专门报告。VMware 还会监控软件安全漏洞的公共存储库,以识别可能影响我们的一个或多个产品的新发现的漏洞。

 

确认和初始分析

收到漏洞报告后,VMware 将对该报告进行分类,并确定受影响的产品以及漏洞的严重性。VMware 将向漏洞报告者提供反馈,并与他们合作解决问题。

 

如果公共报告中没有可用的修复程序,VMware 将通过发布知识库文章来确认报告。此信息将包括对报告漏洞的公共来源的引用。只要有可能,它都将包括用户为保护其 VMware 系统免受漏洞利用而可以采取的措施。

 

修复程序或纠正措施

VMware 将针对所报告的漏洞发布修复程序。此修复程序可能采用以下一种或多种发布形式:

  • 受影响 VMware 产品的新的主要或次要版本
  • 受影响 VMware 产品的新的维护或更新版本
  • 可安装在受影响 VMware 产品之上的补丁程序
  • 有关为安装在 VMware 产品中的第三方软件组件下载和安装更新或补丁程序的说明
  • 指导用户调整 VMware 产品配置以缓解漏洞的纠正程序或解决方法

 

VMware 客户通知

当针对漏洞的修复程序或纠正措施发布时,VMware 将通过以下方式通知其客户:

  • VMware 知识库文章和/或发行说明,其中详细介绍了修复程序或纠正措施。
  • VMware 安全公告,其中详细介绍了安全漏洞,并提供对知识库文章和/或发行说明的引用。

注意:VMware 安全公告发布在 www.vmware.com/cn/security/advisories 上,并可发送给 VMware 安全公告邮件列表的订户。在 www.vmware.com/cn/security/advisories 上的“注册获取安全公告”框中输入您的电子邮件地址,即可订阅此列表。

 

VMware 将修复的产品版本

VMware 生命周期政策规定了软件支持时间表,以帮助客户做出长期变更管理决策和制定发布战略。客户应熟悉其产品的生命周期政策

 

VMware 的响应时间承诺取决于所报告漏洞的严重性。

严重

VMware 将立即开始修复或采取纠正措施。VMware 将在商业上合理的最短时间内为客户提供修复程序或纠正措施。

 

重要

VMware 将在产品的下一个计划维护或更新版本中提供修复程序,在相关情况下,VMware 将以补丁程序的形式发布该修复程序。

 

中危、低危

VMware 将在产品的下一个计划的次要或主要版本中提供修复程序。