Acerca de VMware Security Response Center

Una de las principales prioridades de VMware es mantener la confianza que nuestros clientes depositan en nosotros. Sabemos que solo si nuestros productos cumplen los más altos estándares de seguridad, los clientes podrán utilizarlos con confianza. Para lograrlo, VMware Security Response Center (vSRC) cuenta con un programa para identificar las vulnerabilidades, responder a ellas y abordarlas. Esta publicación documenta nuestras políticas para abordar las vulnerabilidades en los productos empresariales y de consumo de VMware (locales), describe en qué circunstancias emitiremos un identificador CVE y una recomendación de seguridad de VMware (VMSA), explica cómo notificar una vulnerabilidad en el código mantenido por VMware, define la terminología que se utiliza en nuestras publicaciones y acciones correctoras, y documenta nuestro compromiso con las prácticas de entorno seguro.

Cómo notificar una vulnerabilidad

Proceso de notificación de vulnerabilidades a VMware Security Response Center

Si cree que ha detectado una vulnerabilidad en un producto o servicio de VMware, háganoslo saber enviando un correo electrónico privado a security@vmware.com. Le sugerimos utilizar un correo electrónico cifrado para enviar sus notificaciones. Puede encontrar nuestra clave PGP pública en kb.vmware.com/s/article/1055.

VMware sigue directrices de revelación responsable de vulnerabilidades, en las que el investigador notifica de forma privada a VMware la vulnerabilidad recién descubierta en los productos y servicios de VMware. Esto permite a VMware abordar la vulnerabilidad de los productos y servicios afectados antes de que alguna de las partes revele públicamente los detalles de la vulnerabilidad. VMware puede dar crédito al investigador por haber seguido las directrices de divulgación responsable de vulnerabilidades para la detección y notificación de vulnerabilidades.

Si es cliente de VMware, le recomendamos que cree una solicitud de soporte (SR) con el equipo de servicios de soporte global de VMware.

Conozca nuestro proceso

Proceso de VMware Security Response Center para gestionar posibles vulnerabilidades
Paso 1

Recibir y confirmar

Paso 2

Evaluar

Paso 3

Investigar

Paso 4

Corregir

Paso 5

Comunicar y reconocer

Información sobre la gravedad
y las vulnerabilidades y exposiciones habituales

Definiciones de gravedad de VMware

Las publicaciones de VMware utilizan el sistema común de valoración de vulnerabilidades (CVSS) estándar del sector, además de la terminología de gravedad cualitativa que se ajusta a los estándares

de FIRST

Calificación cualitativa de VMware

Calificación cualitativa FIRST

Valoración de CVSS
Crítica
Crítica 9,0-10,0
Importante Alta 7,0-8,9
Moderada
Media 4,0-6,9
Baja Baja 0,1-3,9
Ninguna
Ninguna
0,0

Note: La valoración cualitativa de VMware puede cambiar y no depende solo de la puntuación de CVSS.

Identificadores de vulnerabilidades y exposiciones comunes (CVE):

Como autoridad de numeración CVE (CNA) autorizada, VMware puede asignar identificadores CVE a las vulnerabilidades que afectan a los productos dentro de nuestro ámbito acordado.

VMware emitirá un identificador CVE para una vulnerabilidad cuando cumpla todos los criterios siguientes:

Recomendaciones de seguridad de VMware

VMware revela vulnerabilidades en las Recomendaciones de seguridad de VMware. Los VMSA incluyen la información siguiente:

  • Información sobre la gravedad cualitativa
  • Valoración CVSS
  • Suites de productos afectadas que son compatibles actualmente
  • Descripciones de las vulnerabilidades
  • Vectores de ataque conocidos actualmente
  • Información de la corrección
  • Soluciones alternativas para vulnerabilidades críticas (si las hay)
  • Notas con confirmación de si la explotación se está produciendo de forma incontrolada

Manténgase al día sobre las vulnerabilidades más recientes

Soluciones alternativas

VMware define una solución alternativa como un cambio de configuración in situ compatible que aborda los vectores de ataque conocidos actualmente para una vulnerabilidad determinada. VMware estudiará posibles soluciones alternativas para las vulnerabilidades críticas documentadas en VMSA.

Entorno seguro

Todas las actividades realizadas de acuerdo con esta política se considerarán conductas autorizadas y VMware no iniciará ninguna acción legal en su contra. Si un tercero inicia una acción legal en su contra en relación con las actividades realizadas en el marco de esta política, tomaremos medidas para informar de que sus acciones se llevaron a cabo de conformidad con esta política. 

Notifique la vulnerabilidad a nuestro equipo