VMware arbeitet hart daran, Produkte zu entwickeln, denen unsere Kunden in den kritischsten Abläufen ihres Unternehmens vertrauen. Uns ist bewusst, dass Kunden unsere Produkte nur dann zuverlässig bereitstellen können, wenn diese Produkte die höchsten Sicherheitsstandards erfüllen. Diese VMware-Sicherheitsrichtlinie dokumentiert unsere Verpflichtungen zur Behebung möglicher Schwachstellen in unseren Produkten, damit unsere Kunden sicher sein können, dass solche Probleme rechtzeitig behoben werden.

 

Schwachstellenklassen in VMware-Produkten

Kritische Schwachstellen

Schwachstellen, die von einem nicht authentifizierten Angreifer über das Internet ausgenutzt werden können, oder Schwachstellen, die die Isolation des Gast-/Hostbetriebssystems verletzen. Durch die Ausnutzung werden Vertraulichkeit, Integrität und Verfügbarkeit von Anwenderdaten und/oder Verarbeitungsressourcen ohne Anwenderinteraktion vollständig kompromittiert. Durch die Ausnutzung kann ein Internet-Wurm verbreitet oder beliebiger Code zwischen virtuellen Maschinen und/oder dem Hostbetriebssystem ausgeführt werden.

 

Wichtige Schwachstellen

Schwachstellen, die nicht als kritisch eingestuft werden, deren Ausnutzung jedoch die Vertraulichkeit und/oder Integrität von Anwenderdaten und/oder Verarbeitungsressourcen durch Anwender oder authentifizierte Angreifer vollständig kompromittiert. Diese Bewertung gilt auch für Schwachstellen, die zu einem vollständigen Verlust der Verfügbarkeit führen können, wenn ein nicht authentifizierter Remote-Angreifer sie über das Internet oder durch eine Verletzung der Isolation virtueller Maschinen ausnutzt.

 

Moderate Schwachstellen

Schwachstellen, deren Ausnutzung über die Konfiguration nahezu unterbunden wird oder sehr schwierig ist, die in bestimmten Bereitstellungsszenarien jedoch immer noch die Vertraulichkeit, Integrität oder Verfügbarkeit von Anwenderdaten und/oder Verarbeitungsressourcen kompromittieren kann.

 

Geringe Schwachstellen

Alle anderen Probleme, die sich auf die Sicherheit auswirken. Schwachstellen, deren Ausnutzung als extrem schwierig erachtet wird oder deren erfolgreiche Ausnutzung nur minimale Auswirkungen hätte.

 

Melden einer Schwachstelle

VMware empfiehlt Anwendern, die eine Sicherheitsschwachstelle in VMware-Produkten bemerken, VMware über Details zu informieren. VMware hat eine E-Mail-Adresse eingerichtet, die zum Melden einer Schwachstelle verwendet werden sollte. Bitte senden Sie eine Beschreibung der gefundenen Schwachstellen an security@vmware.com. Geben Sie dabei auch Details zur Software- und Hardwarekonfiguration Ihres Systems an, damit wir das gemeldete Problem duplizieren können.

 

Hinweis: Wir empfehlen verschlüsselte E-Mails. Unseren öffentlichen PGP-Schlüssel finden Sie unter kb.vmware.com/s/article/1055.

 

VMware hofft, dass Anwender, die auf eine neue Schwachstelle stoßen, uns privat kontaktieren. Im Interesse seiner Kunden sollte VMware die Möglichkeit haben, eine vermutete Schwachstelle zu untersuchen und zu bestätigen, bevor sie an die Öffentlichkeit dringt.

 

Bei Schwachstellen in Softwarekomponenten von Drittanbietern, die in VMware-Produkten verwendet werden, benachrichtigen Sie bitte ebenfalls VMware wie oben beschrieben.

 

VMware-Reaktion auf gemeldete Schwachstellen in eigenen Produkten

Überwachte Quellen für Sicherheitsschwachstellen

VMware erhält über seine Mailbox private Berichte von Kunden und VMware-Außendienstmitarbeitern zu Schwachstellen. VMware überwacht außerdem öffentliche Repositorys von Software-Sicherheitsschwachstellen, um neu erkannte Schwachstellen zu identifizieren, die sich auf eines oder mehrere unserer Produkte auswirken können.

 

Bestätigung und erste Analyse

Nach Erhalt eines Schwachstellenberichts prüft VMware den Bericht und ermittelt, welche Produkte betroffen sind und wie schwerwiegend die Schwachstelle ist. VMware gibt denjenigen, die die Schwachstelle gemeldet haben, eine Rückmeldung und arbeitet gemeinsam mit ihnen daran, das Problem zu beheben.

 

Im Fall eines öffentlichen Berichts, für den kein Fix verfügbar ist, bestätigt VMware den Bericht durch Veröffentlichung eines Knowledgebase-Artikels. Diese Informationen enthalten Verweise auf die öffentlichen Quellen, die die Schwachstelle melden. Sofern möglich, werden Schritte genannt, mit denen Anwender ihr VMware-System vor der Ausnutzung der Schwachstelle schützen können.

 

Fix oder Korrekturmaßnahme

VMware veröffentlicht einen Fix für die gemeldete Schwachstelle. Der Fix kann eine oder mehrere der folgenden Formen annehmen:

  • Ein neues Haupt- oder Nebenrelease des betroffenen VMware-Produkts
  • Ein neues Wartungs- oder Aktualisierungsrelease des betroffenen VMware-Produkts
  • Ein Patch, der zusätzlich zum betroffenen VMware-Produkt installiert werden kann
  • Anweisungen zum Herunterladen und Installieren einer Aktualisierung oder eines Patches für eine Softwarekomponente von Drittanbietern, die Teil der VMware-Produktinstallation ist
  • Eine Korrekturmaßnahme oder Problemumgehung, die Anwender anweist, die VMware-Produktkonfiguration anzupassen, um die Schwachstelle zu minimieren

 

Kundenbenachrichtigung durch VMware

Wenn ein Fix oder eine Korrekturmaßnahme für eine Schwachstelle verfügbar wird, benachrichtigt VMware seine Kunden folgendermaßen:

  • VMware-Knowledgebase-Artikel und/oder Versionshinweise mit Details zu dem Fix oder der Korrekturmaßnahme
  • VMware Security Advisory, in dem die Sicherheitsschwachstelle ausführlich beschrieben und auf den Knowledgebase-Artikel und/oder die Versionshinweise verwiesen wird

Hinweis: VMware Security Advisories werden unter www.vmware.com/de/security/advisories veröffentlicht und an Abonnenten der Mailingliste für VMware-Sicherheitsankündigungen gesendet. Sie können diese Liste abonnieren, indem Sie ihre E-Mail-Adresse in das Feld „Sicherheitshinweise abonnieren“ auf www.vmware.com/de/security/advisories eingeben.

 

Produktversionen, die von VMware korrigiert werden

VMware-Lebenszyklusrichtlinien präzisieren den zeitlichen Rahmen des Software-Supports und unterstützen Kunden im Hinblick auf langfristige Change-Management-Entscheidungen und Release-Strategien. Kunden sollten sich mit der Lebenszyklusrichtlinie ihres Produkts vertraut machen.

 

Die von VMware festgelegte Reaktionszeit hängt vom Schweregrad der gemeldeten Schwachstelle ab.

Kritisch

VMware arbeitet sofort an einem Fix oder einer Korrekturmaßnahme. VMware stellt Kunden den Fix oder die Korrekturmaßnahme innerhalb der kürzesten wirtschaftlich vertretbaren Zeit zur Verfügung.

 

Wichtig

VMware stellt mit dem nächsten geplanten Wartungs- oder Aktualisierungsrelease des Produkts einen Fix bereit und veröffentlicht den Fix gegebenenfalls in Form eines Patches.

 

Moderat, gering

VMware stellt mit dem nächsten geplanten Neben- oder Hauptrelease des Produkts einen Fix bereit.