Informazioni su VMware Security Response Center

Una priorità assoluta per VMware è mantenere la fiducia che i nostri clienti ci hanno accordato. Siamo consapevoli che, se i nostri prodotti non soddisfano i più elevati standard di sicurezza, i clienti non potranno utilizzarli con tranquillità. Per raggiungere questo obiettivo, il VMware Security Response Center (vSRC) gestisce un programma per identificare le vulnerabilità, rispondere a esse e risolverle. Questa pubblicazione documenta le nostre policy per affrontare le vulnerabilità nei prodotti VMware per aziende e consumatori (on-premise), descrive in quali circostanze emetteremo un identificatore CVE e VMware Security Advisory (VMSA), spiega come segnalare una vulnerabilità nel codice gestito da VMware, definisce la terminologia utilizzata nelle nostre pubblicazioni e le azioni correttive e documenta il nostro impegno verso pratiche in linea con i principi Safe Harbor.

Come segnalare una vulnerabilità

Processo di segnalazione delle vulnerabilità al VMware Security Response Center

Se ritieni di aver individuato una vulnerabilità in un prodotto o servizio VMware, invia un'e-mail privata all'indirizzo security@vmware.com. Ti consigliamo di utilizzare l'e-mail crittografata per inviare la segnalazione. La nostra chiave PGP pubblica è disponibile nella pagina kb.vmware.com/s/article/1055.

VMware segue le linee guida per la divulgazione responsabile delle vulnerabilità, in base alle quali il ricercatore segnala direttamente a VMware in forma privata la vulnerabilità scoperta nei prodotti e nei servizi VMware. Ciò consente a VMware di risolvere la vulnerabilità nel prodotto e nei servizi interessati prima che qualsiasi parte divulghi pubblicamente i dettagli della vulnerabilità/dell'accaduto. VMware può riconoscere l'attività del ricercatore come indicato nelle linee guida per la divulgazione responsabile delle vulnerabilità per l'individuazione e la segnalazione delle vulnerabilità.

Se sei un cliente VMware, ti consigliamo di creare una richiesta di assistenza con il team Global Support Services di VMware.

Comprendi il nostro processo

Procedura di gestione delle vulnerabilità sospette da parte del VMware Security Response Center
Fase 1

Ricezione e riconoscimento

Fase 2

Triage

Fase 3

Analisi

Fase 4

Correzione

Fase 5

Comunicazione e riconoscimento

Comprendere la gravità e
le vulnerabilità ed esposizioni comuni

Definizioni di gravità di VMware

Le pubblicazioni VMware utilizzano il sistema CVSS (Common Vulnerability Scoring System) standard di settore oltre alla terminologia sulla gravità qualitativa allineata agli standard FIRST

Valutazione qualitativa VMware

Valutazione qualitativa FIRST

Punteggio CVSS
Critica
Critica 9.0 - 10.0
Importante Alta 7.0 - 8.9
Moderata
Media 4.0 - 6.9
Bassa Bassa 0.1 - 3.9
Nessuna
Nessuna
0.0

Nota: La valutazione qualitativa VMware può cambiare e non dipende solo dal punteggio CVSS.

Identificatori CVE comuni:

VMware è CVE Numbering Authority (CNA) ed è autorizzata ad assegnare gli identificatori CVE alle vulnerabilità che interessano i prodotti entro il nostro ambito specifico e concordato.

VMware applica un identificatore CVE per una vulnerabilità quando soddisfa tutti i seguenti criteri:

VMware Security Advisories (VMSA)

VMware dichiara le vulnerabilità nei VMware Security Advisories. I VMSA includono le seguenti informazioni:

  • Informazioni qualitative sulla gravità
  • Punteggio CVSS
  • Suite di prodotti interessate attualmente supportate
  • Descrizioni delle vulnerabilità
  • Vettori di attacchi attualmente noti
  • Informazioni sulla correzione
  • Soluzioni alternative per le vulnerabilità con gravità critica (se disponibili)
  • Note contenenti conferma se il problema si è diffuso senza controllo

Non perdere gli aggiornamenti sulle più recenti vulnerabilità

Soluzioni alternative

VMware definisce una soluzione alternativa come una modifica della configurazione supportata per gestire i vettori di attacco attualmente noti per una determinata vulnerabilità. VMware analizza le possibili soluzioni alternative per le vulnerabilità di gravità critica documentate nei VMSA.

Safe Harbor

Qualsiasi attività condotta in modo coerente con questa policy sarà considerata condotta autorizzata e VMware non avvierà azioni legali contro di te. Se una terza parte avvia un'azione legale contro di te in riferimento alle attività svolte nell'ambito di questa policy, adotteremo le misure per far sapere che le tue azioni sono state condotte in conformità a questa policy. 

Segnala la vulnerabilità al nostro team