Anwendungen & Cloud
Nutzen Sie das Potenzial der Cloud und stellen Sie moderne Anwendungen schneller bereit – mit VMware Cloud.
Networking
Schnellere moderne Anwendungen durch Netzwerk- und Sicherheitsvirtualisierung für WAN, Rechenzentrum und Cloud
Workspace
Optimale Mitarbeitererfahrung – jederzeit und an jedem Ort.
Sicherheit
Schützen Sie Ihre Infrastruktur – unabhängig von Anwendung, Cloud und Gerät.
Lösungen nach Branche
Maßgeschneiderte Lösungen für Anwendungs-Framework, Cloud-Infrastruktur und Sicherheitsarchitektur
Über VMware-Partner
Das globale Partnernetz von VMware verhilft Unternehmen zu einer intelligenten Nutzung der Cloud.
Was spricht für VMware?
Anwendungen mit einer digitalen Grundlage von VMware erstellen, ausführen, verwalten, vernetzen und schützen
Sicherheitsrichtlinien
VMware arbeitet hart daran, Produkte zu entwickeln, denen unsere Kunden in den kritischsten Abläufen ihres Unternehmens vertrauen. Uns ist bewusst, dass Kunden unsere Produkte nur dann zuverlässig bereitstellen können, wenn diese Produkte die höchsten Sicherheitsstandards erfüllen. Diese VMware-Sicherheitsrichtlinie dokumentiert unsere Verpflichtungen zur Behebung möglicher Schwachstellen in unseren Produkten, damit unsere Kunden sicher sein können, dass solche Probleme rechtzeitig behoben werden.
Schwachstellenklassen in VMware-Produkten
Kritische Schwachstellen
Schwachstellen, die von einem nicht authentifizierten Angreifer über das Internet ausgenutzt werden können, oder Schwachstellen, die die Isolation des Gast-/Hostbetriebssystems verletzen. Durch die Ausnutzung werden Vertraulichkeit, Integrität und Verfügbarkeit von Anwenderdaten und/oder Verarbeitungsressourcen ohne Anwenderinteraktion vollständig kompromittiert. Durch die Ausnutzung kann ein Internet-Wurm verbreitet oder beliebiger Code zwischen virtuellen Maschinen und/oder dem Hostbetriebssystem ausgeführt werden.
Wichtige Schwachstellen
Schwachstellen, die nicht als kritisch eingestuft werden, deren Ausnutzung jedoch die Vertraulichkeit und/oder Integrität von Anwenderdaten und/oder Verarbeitungsressourcen durch Anwender oder authentifizierte Angreifer vollständig kompromittiert. Diese Bewertung gilt auch für Schwachstellen, die zu einem vollständigen Verlust der Verfügbarkeit führen können, wenn ein nicht authentifizierter Remote-Angreifer sie über das Internet oder durch eine Verletzung der Isolation virtueller Maschinen ausnutzt.
Moderate Schwachstellen
Schwachstellen, deren Ausnutzung über die Konfiguration nahezu unterbunden wird oder sehr schwierig ist, die in bestimmten Bereitstellungsszenarien jedoch immer noch die Vertraulichkeit, Integrität oder Verfügbarkeit von Anwenderdaten und/oder Verarbeitungsressourcen kompromittieren kann.
Geringe Schwachstellen
Alle anderen Probleme, die sich auf die Sicherheit auswirken. Schwachstellen, deren Ausnutzung als extrem schwierig erachtet wird oder deren erfolgreiche Ausnutzung nur minimale Auswirkungen hätte.
Melden einer Schwachstelle
VMware empfiehlt Anwendern, die eine Sicherheitsschwachstelle in VMware-Produkten bemerken, VMware über Details zu informieren. VMware hat eine E-Mail-Adresse eingerichtet, die zum Melden einer Schwachstelle verwendet werden sollte. Bitte senden Sie eine Beschreibung der gefundenen Schwachstellen an security@vmware.com. Geben Sie dabei auch Details zur Software- und Hardwarekonfiguration Ihres Systems an, damit wir das gemeldete Problem duplizieren können.
Hinweis: Wir empfehlen verschlüsselte E-Mails. Unseren öffentlichen PGP-Schlüssel finden Sie unter kb.vmware.com/s/article/1055.
VMware hofft, dass Anwender, die auf eine neue Schwachstelle stoßen, uns privat kontaktieren. Im Interesse seiner Kunden sollte VMware die Möglichkeit haben, eine vermutete Schwachstelle zu untersuchen und zu bestätigen, bevor sie an die Öffentlichkeit dringt.
Bei Schwachstellen in Softwarekomponenten von Drittanbietern, die in VMware-Produkten verwendet werden, benachrichtigen Sie bitte ebenfalls VMware wie oben beschrieben.
VMware-Reaktion auf gemeldete Schwachstellen in eigenen Produkten
Überwachte Quellen für Sicherheitsschwachstellen
VMware erhält über seine Mailbox private Berichte von Kunden und VMware-Außendienstmitarbeitern zu Schwachstellen. VMware überwacht außerdem öffentliche Repositorys von Software-Sicherheitsschwachstellen, um neu erkannte Schwachstellen zu identifizieren, die sich auf eines oder mehrere unserer Produkte auswirken können.
Bestätigung und erste Analyse
Nach Erhalt eines Schwachstellenberichts prüft VMware den Bericht und ermittelt, welche Produkte betroffen sind und wie schwerwiegend die Schwachstelle ist. VMware gibt denjenigen, die die Schwachstelle gemeldet haben, eine Rückmeldung und arbeitet gemeinsam mit ihnen daran, das Problem zu beheben.
Im Fall eines öffentlichen Berichts, für den kein Fix verfügbar ist, bestätigt VMware den Bericht durch Veröffentlichung eines Knowledgebase-Artikels. Diese Informationen enthalten Verweise auf die öffentlichen Quellen, die die Schwachstelle melden. Sofern möglich, werden Schritte genannt, mit denen Anwender ihr VMware-System vor der Ausnutzung der Schwachstelle schützen können.
Fix oder Korrekturmaßnahme
VMware veröffentlicht einen Fix für die gemeldete Schwachstelle. Der Fix kann eine oder mehrere der folgenden Formen annehmen:
- Ein neues Haupt- oder Nebenrelease des betroffenen VMware-Produkts
- Ein neues Wartungs- oder Aktualisierungsrelease des betroffenen VMware-Produkts
- Ein Patch, der zusätzlich zum betroffenen VMware-Produkt installiert werden kann
- Anweisungen zum Herunterladen und Installieren einer Aktualisierung oder eines Patches für eine Softwarekomponente von Drittanbietern, die Teil der VMware-Produktinstallation ist
- Eine Korrekturmaßnahme oder Problemumgehung, die Anwender anweist, die VMware-Produktkonfiguration anzupassen, um die Schwachstelle zu minimieren
Kundenbenachrichtigung durch VMware
Wenn ein Fix oder eine Korrekturmaßnahme für eine Schwachstelle verfügbar wird, benachrichtigt VMware seine Kunden folgendermaßen:
- VMware-Knowledgebase-Artikel und/oder Versionshinweise mit Details zu dem Fix oder der Korrekturmaßnahme
- VMware Security Advisory, in dem die Sicherheitsschwachstelle ausführlich beschrieben und auf den Knowledgebase-Artikel und/oder die Versionshinweise verwiesen wird
Hinweis: VMware Security Advisories werden unter www.vmware.com/de/security/advisories veröffentlicht und an Abonnenten der Mailingliste für VMware-Sicherheitsankündigungen gesendet. Sie können diese Liste abonnieren, indem Sie ihre E-Mail-Adresse in das Feld „Sicherheitshinweise abonnieren“ auf www.vmware.com/de/security/advisories eingeben.
Produktversionen, die von VMware korrigiert werden
VMware-Lebenszyklusrichtlinien präzisieren den zeitlichen Rahmen des Software-Supports und unterstützen Kunden im Hinblick auf langfristige Change-Management-Entscheidungen und Release-Strategien. Kunden sollten sich mit der Lebenszyklusrichtlinie ihres Produkts vertraut machen.
Die von VMware festgelegte Reaktionszeit hängt vom Schweregrad der gemeldeten Schwachstelle ab.
Kritisch
VMware arbeitet sofort an einem Fix oder einer Korrekturmaßnahme. VMware stellt Kunden den Fix oder die Korrekturmaßnahme innerhalb der kürzesten wirtschaftlich vertretbaren Zeit zur Verfügung.
Wichtig
VMware stellt mit dem nächsten geplanten Wartungs- oder Aktualisierungsrelease des Produkts einen Fix bereit und veröffentlicht den Fix gegebenenfalls in Form eines Patches.
Moderat, gering
VMware stellt mit dem nächsten geplanten Neben- oder Hauptrelease des Produkts einen Fix bereit.