VMware는 고객이 기업의 가장 중요한 운영 환경에서 신뢰할 수 있는 제품을 만들기 위해 최선을 다하고 있습니다. 또한 VMware는 당사의 제품이 최고 수준의 보안 기준을 충족하지 않으면 고객이 안심하고 배포할 수 없다는 사실을 인지하고 있습니다. 본 VMware 보안 응답 정책은 고객이 이러한 문제를 적시에 해결할 수 있도록 지원하기 위해 제품의 잠재적인 취약점을 해결하고자 노력하는 VMware의 헌신을 문서화합니다.

 

VMware 제품의 취약점 등급

심각한 취약점

인터넷에서 인증되지 않은 공격자에 의해 악용될 수 있는 취약점 또는 게스트/호스트 운영 체제 격리를 해제하는 취약점입니다. 악용으로 인해 사용자의 상호작용 없이 사용자 데이터 및/또는 처리 리소스의 기밀성, 무결성 및 가용성이 완전히 손상될 수 있습니다. 이 악용을 활용하여 인터넷 웜을 전파하거나 가상 머신 및/또는 호스트 운영 체제 간에 임의의 코드를 실행할 수 있습니다.

 

중요한 취약점

심각 등급은 아니지만 악용될 경우 사용자 지원 또는 인증된 공격자를 통해 사용자 데이터 및/또는 처리 리소스의 기밀성 및 무결성이 완전히 손상될 수 있는 취약점입니다. 이 등급은 인터넷의 인증되지 않은 원격 공격자에 의해 또는 가상 머신 격리 침해를 통해 악용되는 경우 가용성이 완전히 손상될 수 있는 취약점에도 적용됩니다.

 

중간 수준의 취약점

구성 또는 악용의 어려움으로 인해 악용될 소지가 있는 기능이 상당히 완화되지만 특정 배포 시나리오에서는 여전히 사용자 데이터 및/또는 처리 리소스의 기밀성, 무결성 또는 가용성이 손상될 수 있는 취약점입니다.

 

낮은 수준의 취약점

보안에 영향을 미치는 기타 모든 문제를 뜻합니다. 악용이 극도로 어렵다고 여겨지거나 성공적으로 악용될 경우에도 최소한의 영향만을 미치는 취약점입니다.

 

취약점을 보고하는 방법

VMware는 VMware 제품의 보안 취약점을 알게 된 사용자에게 VMware에 연락하여 취약점에 대한 세부 정보를 제공할 것을 권장합니다. VMware는 취약점 보고에 사용할 e-메일 주소를 만들었습니다. 발견된 취약점에 대한 자세한 설명은 security@vmware.com으로 보내주십시오. 보고된 문제를 복제할 수 있도록 시스템의 소프트웨어 및 하드웨어 구성에 대한 세부 정보를 함께 제공해 주시기 바랍니다.

 

참고: 암호화된 e-메일을 사용하는 것이 좋습니다. 퍼블릭 PGP 키는 kb.vmware.com/s/article/1055에서 확인할 수 있습니다.

 

의심되는 취약점이 공개적으로 알려지기 전에 VMware 측에서 조사하고 확인할 수 있는 기회를 확보하는 것이 고객의 주요 관심사이기 때문에, VMware에서는 새로운 취약점을 발견하는 사용자들이 비공개로 VMware에게 문의하기를 권장합니다.

 

VMware 제품에 사용된 타사 소프트웨어 구성 요소에서 발견된 취약점의 경우에도 위에 설명된 대로 VMware에 알려주십시오.

 

제품의 보고된 취약점에 대한 VMware의 대응

보안 취약점 소스 모니터링

VMware는 사서함을 통해 고객과 VMware 현장 직원으로부터 취약점에 대한 비공개 보고서를 받습니다. 또한 VMware는 소프트웨어 보안 취약점의 공개 저장소를 모니터링하여 하나 이상의 제품에 영향을 줄 가능성이 있는, 새로 발견된 취약점을 파악합니다.

 

인지 및 초기 분석

취약점 보고를 받은 후 VMware는 보고서를 분류하여 영향을 받는 제품과 해당 취약점의 심각도를 결정합니다. 그런 다음 VMware는 취약점 보고자에게 피드백을 제공하고 협력을 통해 문제를 해결합니다.

 

수정 사항을 제공할 수 없는 공개 보고서의 경우 VMware는 기술 자료 문서를 게시하여 보고서를 확인합니다. 이 정보에는 취약점을 보고하는 공개 소스에 대한 참조가 포함됩니다. 또한 가능한 경우 취약점의 악용으로부터 VMware 시스템을 보호하기 위해 사용자가 취할 수 있는 조치도 함께 제공됩니다.

 

수정 또는 시정 조치

VMware는 보고된 취약점에 대한 수정 사항을 릴리스합니다. 수정은 다음 형식 중 하나 이상의 형태로 배포될 수 있습니다.

  • 영향을 받는 VMware 제품의 새로운 주요 릴리스 또는 보조 릴리스
  • 영향을 받는 VMware 제품의 새로운 유지 관리 릴리스 또는 업데이트 릴리스
  • 영향을 받는 VMware 제품에 설치할 수 있는 패치
  • VMware 제품 설치의 일부로 제공되는 타사 소프트웨어 구성 요소에 대한 업데이트 또는 패치를 다운로드하고 설치하기 위한 지침
  • 사용자가 VMware 제품 구성을 조정하여 취약점을 완화할 수 있도록 지침을 제공하는 시정 절차 또는 해결 방법

 

VMware 고객 알림

취약점에 대한 수정 또는 시정 조치가 마련되면 VMware는 다음과 같은 방법으로 고객에게 이에 대해 알립니다.

  • 수정 또는 시정 조치에 대해 자세히 설명하는 VMware 기술 자료 문서 및/또는 릴리스 노트
  • 보안 취약점에 대해 자세히 설명하고 기술 자료 문서 및/또는 릴리스 노트에 대한 참조를 제공하는 VMware 보안 권고

참고: VMware 보안 권고는 www.vmware.com/kr/security/advisories에 게시되며 VMware 보안 공지 메일링 목록의 구독자에게 전송됩니다. www.vmware.com/kr/security/advisories의“보안 권고 등록” 상자에 e-메일 주소를 입력하여 이 목록을 구독할 수 있습니다.

 

VMware에서 수정할 제품 버전

VMware 수명주기 정책은 소프트웨어 지원 일정을 지정하여 고객의 장기적인 변화 관리 결정 및 릴리스 전략을 지원합니다. 고객은 제품의 수명주기 정책을 숙지해야 합니다.

 

VMware에서 약속하는 응답 시간은 보고된 취약점의 심각도에 따라 다릅니다.

심각

VMware에서 즉시 문제를 시정하고 해결하기 위한 작업을 시작합니다. VMware는 상업적으로 합리적인 최단 시간 내에 고객에게 수정 또는 시정 조치를 제공합니다.

 

중요

VMware는 제품에 대해 계획된 다음 유지 관리 또는 업데이트 릴리스 시에 수정 사항을 제공하며, 해당하는 경우 패치 형식으로 수정 사항을 릴리스합니다.

 

보통, 낮음

VMware는 제품에 대해 계획된 다음 주요 릴리스 또는 보조 릴리스 시에 수정 사항을 제공합니다.