VMware lavora sodo per creare prodotti che i nostri clienti possono utilizzare nelle operation più critiche delle loro aziende. Siamo consapevoli che, se i nostri prodotti non soddisfano i più elevati standard di sicurezza, i clienti non potranno distribuirli con tranquillità. Questa policy per la sicurezza VMware documenta il nostro impegno per risolvere possibili vulnerabilità nei nostri prodotti, in modo che i clienti possano contare sulla correzione tempestiva di eventuali problemi di questo tipo.

 

Classi di vulnerabilità nei prodotti VMware

Vulnerabilità critiche

Vulnerabilità che possono essere sfruttate da un hacker non autenticato da Internet o che violano l'isolamento del sistema operativo guest/host. L'exploit comporta la completa compromissione della riservatezza, dell'integrità e della disponibilità dei dati degli utenti e/o delle risorse di elaborazione senza l'interazione degli utenti. L'exploit può essere sfruttato per propagare un worm Internet o eseguire codice arbitrario tra macchine virtuali e/o il sistema operativo host.

 

Vulnerabilità importanti

Vulnerabilità non classificate come critiche, ma il cui exploit determina la completa compromissione della riservatezza e/o dell'integrità dei dati degli utenti e/o delle risorse di elaborazione attraverso l'assistenza degli utenti o da parte di hacker autenticati. Questa classificazione si applica anche alle vulnerabilità che potrebbero portare alla completa compromissione della disponibilità quando l'exploit avviene da parte di un hacker remoto non autenticato da Internet o attraverso una violazione dell'isolamento delle macchine virtuali.

 

Vulnerabilità moderate

Vulnerabilità per le quali la capacità di exploit è mitigata in misura significativa dalla configurazione o dalla difficoltà di exploit, ma in alcuni scenari di deployment potrebbero comunque compromettere la riservatezza, l'integrità o la disponibilità dei dati degli utenti e/o delle risorse di elaborazione.

 

Vulnerabilità ridotte

Tutti gli altri problemi che hanno un impatto sulla sicurezza. Vulnerabilità in cui l'exploit è considerato estremamente difficile o in cui il successo di un exploit avrebbe un impatto minimo.

 

Come segnalare una vulnerabilità

VMware incoraggia gli utenti che vengono a conoscenza di una vulnerabilità della sicurezza nei prodotti VMware a contattare VMware fornendo i dettagli della vulnerabilità. VMware ha istituito un indirizzo e-mail da utilizzare per segnalare le vulnerabilità. Invia le descrizioni di eventuali vulnerabilità rilevate a security@vmware.com. Includi i dettagli sulla configurazione software e hardware del sistema per consentirci di riprodurre il problema segnalato.

 

Nota: consigliamo di utilizzare e-mail crittografate. La nostra chiave PGP pubblica è disponibile all'indirizzo kb.vmware.com/s/article/1055.

 

Invitiamo gli utenti che riscontrino una nuova vulnerabilità a contattare subito VMware in privato; è nell'interesse dei nostri clienti consentire a VMware di esaminare e confermare una sospetta vulnerabilità prima che diventi di dominio pubblico.

 

Contatta VMware come descritto sopra anche in caso di vulnerabilità rilevate nei componenti software di terze parti utilizzati nei nostri prodotti.

 

Risposta di VMware alle vulnerabilità segnalate nei nostri prodotti

Fonti di vulnerabilità della sicurezza monitorate

VMware riceve segnalazioni private di vulnerabilità tramite la propria casella di posta, dai clienti e dal personale operativo VMware. VMware monitora anche gli repository pubblici delle vulnerabilità della sicurezza dei software per identificare le vulnerabilità scoperte di recente che potrebbero interessare uno o più dei nostri prodotti.

 

Conferma di ricezione e analisi iniziale

Dopo aver ricevuto la segnalazione di una vulnerabilità, VMware analizza la segnalazione e determina i prodotti sono interessati e la gravità della vulnerabilità. VMware fornisce un feedback all'autore della segnalazione e collabora con lui per risolvere il problema.

 

Nel caso di una segnalazione pubblica per cui non esiste una correzione, VMware ne conferma la ricezione pubblicando un articolo della Knowledge Base. Queste informazioni includeranno riferimenti alle fonti pubbliche che segnalano la vulnerabilità. Ove possibile, includeranno misure che gli utenti possono adottare per proteggere il proprio sistema VMware dall'exploit della vulnerabilità.

 

Correzione o azione correttiva

VMware rilascia una correzione per la vulnerabilità segnalata. La correzione può assumere una o più delle forme seguenti:

  • Una nuova release principale o secondaria del prodotto VMware interessato
  • Una nuova versione di manutenzione o aggiornamento del prodotto VMware interessato
  • Una patch che può essere installata sul prodotto VMware interessato
  • Istruzioni per scaricare e installare un aggiornamento o una patch per un componente software di terze parti che fa parte dell'installazione del prodotto VMware
  • Una procedura correttiva o una soluzione alternativa che indica agli utenti come modificare la configurazione del prodotto VMware per mitigare la vulnerabilità

 

Notifica ai clienti VMware

Quando si rende disponibile una correzione o un'azione correttiva per una vulnerabilità, VMware informa i clienti attraverso quanto segue:

  • Articolo della Knowledge Base di VMware e/o note di rilascio che descrivono in dettaglio la correzione o l'azione correttiva.
  • Avviso sulla sicurezza VMware che descrive in dettaglio la vulnerabilità della sicurezza e fornisce un riferimento all'articolo della Knowledge Base e/o alle note di rilascio.

Nota: gli avvisi sulla sicurezza VMware vengono pubblicati su www.vmware.com/security/advisories e vengono inviati agli iscritti della mailing list degli annunci sulla sicurezza VMware. Puoi iscriverti a questo elenco inserendo il tuo indirizzo e-mail nella casella Iscriviti per ricevere gli avvisi sulla sicurezza su www.vmware.com/security/advisories.

 

Versioni dei prodotti che VMware correggerà

Le policy del ciclo di vita VMware specificano le tempistiche di assistenza del software per assistere i clienti nelle decisioni di gestione delle modifiche a lungo termine e nelle strategie di release. I clienti devono acquisire familiarità con la policy del ciclo di vita del prodotto.

 

Il tempo di risposta previsto da VMware dipende dalla gravità della vulnerabilità segnalata.

Critica

VMware inizia immediatamente a elaborare una correzione o un'azione correttiva. VMware fornisce la correzione o l'azione correttiva ai clienti nel più breve tempo commercialmente possibile.

 

Importante

VMware fornisce una correzione con la successiva versione di manutenzione o aggiornamento del prodotto pianificata e, se del caso, la rilascerà sotto forma di patch.

 

Moderata o ridotta

VMware fornisce una correzione con la successiva release principale o secondaria del prodotto pianificata.