Über das VMware Security Response Center

Das Vertrauen, das unsere Kunden in uns setzen, hat für VMware höchste Priorität. Uns ist bewusst, dass Kunden unsere Produkte nur dann zuverlässig nutzen können, wenn diese Produkte die höchsten Sicherheitsstandards erfüllen. Zu diesem Zweck bietet das VMware Security Response Center (vSRC) ein Programm für den Umgang mit Schwachstellen: Identifizieren, Reagieren und Beseitigen. Diese Veröffentlichung dokumentiert unsere Richtlinien zum Beheben von Schwachstellen in VMware-Produkten für Unternehmen und Verbraucher (On-Premises), beschreibt, unter welchen Umständen wir eine CVE-Kennung und ein VMware Security Advisory (VMSA) ausgeben, erläutert, wie eine Schwachstelle in von VMware verwaltetem Code gemeldet wird. definiert die in unseren Veröffentlichungen und Korrekturmaßnahmen verwendete Terminologie und dokumentiert unser Engagement für Safe Harbor-Praktiken.

Melden von Schwachstellen

Melden von Schwachstellen an das VMware Security Response Center

Wenn Sie glauben, eine Schwachstelle in einem VMware-Produkt oder -Service gefunden zu haben, teilen Sie uns dies bitte in einer privaten E-Mail an security@vmware.com mit. Wir empfehlen, für die Übermittlung Ihrer Berichte verschlüsselte E-Mails zu verwenden. Sie finden unseren öffentlichen PGP-Schlüssel unter kb.vmware.com/s/article/1055.

VMware befolgt die Richtlinien zur verantwortungsbewussten Offenlegung von Schwachstellen, nach denen der Entdecker die neue Schwachstelle in VMware-Produkten und -Services direkt privat an VMware meldet. Dadurch kann VMware die Schwachstelle in den betroffenen Produkten und Services beheben, bevor jemand Details zu der Schwachstelle/dem Exploit veröffentlicht. VMware kann den Entdecker, der die Richtlinien zur verantwortungsbewussten Offenlegung von Schwachstellen befolgt, eine Anerkennung für das Entdecken und Melden einer Schwachstelle gewähren.

Wenn Sie VMware-Kunde sind, empfehlen wir Ihnen, eine Support-Anfrage an das VMware Global Support Services-Team zu stellen.

Unser Prozess

Prozess des VMware Security Response Center zum Umgang mit mutmaßlichen Schwachstellen
Schritt 1

Empfangen und Bestätigen

Schritt 2

Einordnen

Schritt 3

Recherchieren

Schritt 4

Beseitigen

Schritt 5

Kommunizieren und Anerkennen

Verstehen des Schweregrads und
der häufigsten Schwachstellen und Risiken

VMware-Definitionen des Schweregrads

VMware-Veröffentlichungen nutzen das dem Branchenstandard entsprechende Common Vulnerability Scoring System (CVSS) zusätzlich zur Terminologie für qualitative Schweregrade, die den FIRST-Standards entspricht.

Qualitative VMware-Bewertung

Qualitative FIRST-Bewertung

CVSS-Bewertung
Kritisch
Kritisch 9,0–10,0
Wichtig Hoch 7,0–8,9
Mäßig
Mittel 4,0–6,9
Niedrig Niedrig 0,1–3,9
Keine
Keine
0,0

Hinweis: Die qualitative VMware-Bewertung kann sich ändern und hängt nicht nur von der CVSS-Bewertung ab.

Kennungen der häufigsten Schwachstellen und Risiken (Common Vulnerabilities and Exposures, CVE)

Als genehmigte CVE Numbering Authority (CNA) ist VMware berechtigt, Schwachstellen, die Produkte innerhalb unseres spezifischen, vereinbarten Umfangs betreffen, CVE-Kennungen zuzuweisen.

VMware vergibt eine CVE-Kennung für eine Schwachstelle, wenn sie alle der folgenden Kriterien erfüllt:

VMware Security Advisories (VMSAs)

VMware veröffentlicht Schwachstellen in VMware Security Advisories. VMSAs enthalten die folgenden Informationen:

  • Qualitative Informationen zum Schweregrad
  • CVSS-Bewertung
  • Betroffene derzeit unterstützte Produkt-Suites
  • Schwachstellenbeschreibungen
  • Derzeit bekannte Angriffsvektoren
  • Informationen zur Remediation
  • Workarounds für Schwachstellen mit kritischem Schweregrad (falls möglich)
  • Hinweise mit Informationen dazu, ob Exploits in der Praxis auftreten

Bleiben Sie über die neuesten Schwachstellen auf dem Laufenden

Workarounds

VMware definiert einen Workaround als unterstützte In-Place-Konfigurationsänderung, die derzeit bekannte Angriffsvektoren für eine bestimmte Schwachstelle beseitigt. VMware untersucht potenzielle Workarounds für in VMSAs dokumentierte Schwachstellen mit kritischem Schweregrad.

Safe Harbor

Alle Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt werden, werden als autorisiertes Verhalten betrachtet und VMware wird keine rechtlichen Schritte gegen Sie einleiten. Wenn ein Dritter im Zusammenhang mit Aktivitäten im Rahmen dieser Richtlinie rechtliche Schritte gegen Sie einleitet, werden wir Maßnahmen ergreifen, um bekannt zu geben, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden. 

Melden einer Schwachstelle an unser Team