VMware 보안 응답 센터 정보
VMware는 당사에 대한 고객의 신뢰를 가장 중요하게 여기며, VMware의 제품이 최고 수준의 보안 기준을 충족하지 않으면 고객이 안심하고 사용할 수 없다는 사실을 인지하고 있습니다. 이러한 기준을 충족하고자 VMware 보안 응답 센터(vSRC)는 취약점을 식별하고, 대응 및 해결하기 위한 프로그램을 유지 관리하고 있습니다. 본 게시물은 VMware 엔터프라이즈 및 소비자 제품(온프레미스)에서 발생하는 취약점을 해결하기 위한 정책을 문서화하고, 어떤 상황에서 CVE 식별자 및 VMware 보안 권고(VMSA)를 발행하는지 설명하며, VMware에서 유지 관리하는 코드의 취약점을 보고하는 방법을 설명합니다. 또한 VMware의 관련 문서 및 시정 조치에 사용된 용어를 정의하고, Safe Harbor 원칙에 대한 VMware의 노력을 문서화합니다.
취약점을 보고하는 방법
VMware 보안 응답 센터에 취약점을 보고하는 프로세스
VMware 제품 또는 서비스에서 취약점을 발견했다고 생각되면 개인 e-메일을 통해 security@vmware.com으로 해당 내용을 신고해 주시기 바랍니다. 보고서 제출 시에는 암호화된 e-메일을 사용해 주시기 바랍니다. 공개 PGP 키는 kb.vmware.com/s/article/1055에서 확인하실 수 있습니다.
VMware는 책임감 있는 취약점 공개 지침을 준수하며, 이에 따라 VMware 제품 및 서비스에서 새로 발견된 취약점은 연구원에 의해 VMware에 직접 보고됩니다. 이러한 방식을 통해 VMware에서는 제3자가 취약점/악용 세부 정보를 공개하기 전에 영향을 받는 제품 및 서비스의 취약점을 해결할 수 있습니다. VMware는 취약점 검색 및 보고와 관련하여 책임감 있는 취약점 공개 지침을 준수한 연구원에게 크레딧을 제공할 수 있습니다.
VMware 고객이라면 VMware 글로벌 지원 서비스 팀을 통해 지원 요청(SR)을 작성하시는 것이 좋습니다.
VMware 프로세스 이해
VMware 보안 응답 센터에서 의심스러운 취약점을 처리하는 프로세스
1단계
수신 및 확인
2단계
분류
3단계
조사
4단계
문제 해결
5단계
소통 및 크레딧
심각도 및
일반적인 취약점 및 노출 파악
VMware 심각도 정의
VMware 게시물에서는 FIRST 표준에 부합하는 정성적 심각도 용어와 함께 업계 표준 CVSS(Common Vulnerability Scoring System)를 사용합니다.
VMware 정성적 등급 | FIRST 정성적 등급 | CVSS 점수 |
| 심각 | 심각 | 9.0~10.0 |
| 중요 | 높음 | 7.0~8.9 |
| 보통 | 중간 | 4.0~6.9 |
| 낮음 | 낮음 | 0.1~3.9 |
| 없음 | 없음 | 0.0 |
참고: VMware 정성적 등급은 변경될 수 있으며 CVSS 점수만 기준으로 하지는 않습니다.
일반적인 취약점 및 노출(CVE) 식별자:
VMware는 승인된 CVE 번호 부여 기관(CNA)으로서 당사와 합의된 분명한 범위 내에서 제품에 영향을 미치는 취약점에 CVE 식별자를 할당할 권한이 있습니다.
VMware는 다음 기준을 모두 충족하는 취약점에 대해 CVE 식별자를 발급합니다.
- 취약점이 VMware에서 유지 관리하는 코드의 예상치 못한 동작으로 인해 발생합니다.
- 취약점으로 인해 측정 가능한 기밀성, 무결성 또는 가용성이 저하됩니다.
- 취약점이 현재 지원되는 하나 이상의 VMware 제품(VMware 제품 수명 주기 표에 있는 제품)에서 발견되거나 현재 지원되고 VMware에서 유지 관리하는 오픈 소스 프로젝트에서 발견됩니다.
VMware 보안 권고(VMSA)
VMware는 VMware 보안 권고에 취약점을 공개합니다. VMSA에는 다음 정보가 포함됩니다.
- 정성적 심각도 정보
- CVSS 점수
- 현재 지원되는 영향을 받는 제품군
- 취약점 설명
- 현재 알려진 공격 벡터
- 문제 해결 정보
- 심각도가 높은 취약점의 해결 방법(가능한 경우)
- 실제 사용 중에 악용이 발생하는지 확인하는 메모
최근 발생한 취약점에 대한 최신 정보 유지
해결 방법
VMware에서 정의하는 해결 방법은 특정 취약점에 대해 현재 알려진 공격 벡터를 해결하는 지원되는 인플레이스 구성 변경을 의미합니다. VMware는 VMSA에 명시된 심각도가 높은 취약점에 대해 잠재적인 해결 방법을 조사합니다.
Safe Harbor
본 정책에 부합하는 방식으로 수행된 모든 활동은 승인된 행위로 간주되며 VMware는 귀하에 대해 법적 조치를 취하지 않습니다. 본 정책에 따라 수행된 활동과 관련하여 제3자가 귀하에 대해 법적 조치를 취하는 경우 당사는 귀하의 조치가 본 정책에 따라 수행되었음을 알리는 조치를 취할 것입니다.