Компания VMware прилагает много усилий, чтобы создать надежные продукты для выполнения наиболее важных процессов в организациях заказчиков. Мы понимаем, что если наши продукты не будут соответствовать самым высоким стандартам безопасности, заказчики не смогут уверенно их развертывать. В этой Политике VMware в отношении решения проблем безопасности изложены обязательства компании по устранению возможных уязвимостей в наших продуктах, чтобы заказчики могли быть уверены в своевременном устранении таких проблем.

 

Классификация уязвимостей в продуктах VMware

Критические уязвимости

Уязвимости, которыми могут воспользоваться не прошедшие проверку подлинности злоумышленники через Интернет или через нарушение изоляции гостевой ОС или ОС узла. Эксплуатация уязвимости без вмешательства пользователя приводит к полному нарушению конфиденциальности, целостности и доступности пользовательских данных и (или) ресурсов обработки. Уязвимость может эксплуатироваться для распространения вирусной программы самотиражирования или выполнения произвольного кода между виртуальными машинами и (или) операционной системой узла.

 

Важные уязвимости

Это уязвимости, которые не относятся к категории критических, но при вмешательстве пользователей или злоумышленников, прошедших проверку подлинности, их эксплуатация приводит к полному нарушению конфиденциальности и (или) целостности пользовательских данных и/или ресурсов обработки. К этой категории также относятся те уязвимости, которые могут привести к полному нарушению доступности при эксплуатации злоумышленником, не прошедшим проверку подлинности, через Интернет или путем нарушения изоляции виртуальных машин.

 

Умеренные уязвимости

Уязвимости, уровень опасности которых в значительной степени снижен из-за конфигурации или сложности эксплуатации, но в определенных сценариях развертывания их эксплуатация может привести к нарушению конфиденциальности, целостности или доступности пользовательских данных и (или) ресурсов обработки.

 

Уязвимости низкого уровня опасности

Все другие проблемы, влияющие на безопасность. Уязвимости, эксплуатация которых считается чрезвычайно сложной задачей или окажет минимальное воздействие.

 

Как сообщить об уязвимости

VMware рекомендует пользователям, которым стало известно об уязвимости в продуктах VMware, обращаться в VMware и сообщать подробные сведения об уязвимости. Компания VMware установила адрес электронной почты, который следует использовать, чтобы сообщить об уязвимости. Присылайте описания обнаруженных уязвимостей по адресу security@vmware.com. Укажите сведения о конфигурации программного и аппаратного обеспечения вашей системы, чтобы мы могли воспроизвести проблему, о которой сообщается.

 

Примечание. Мы рекомендуем использовать зашифрованные сообщения электронной почты. Наш общедоступный ключ PGP находится на странице kb.vmware.com/s/article/1055.

 

Компания VMware надеется, что пользователи, обнаружившие новую уязвимость, свяжутся с нами в частном порядке, поскольку в интересах наших заказчиков, чтобы компания VMware могла расследовать и подтвердить предполагаемую уязвимость до того, как о ней станет известно всем.

 

В случае обнаружения уязвимостей в сторонних программных компонентах, используемых в продуктах VMware, также следует уведомить VMware, как описано выше.

 

Реагирование VMware на обнаруженные уязвимости в продуктах

Отслеживаемые источники уязвимостей

Компания VMware получает частные отчеты об уязвимостях через свой почтовый ящик от заказчиков и от персонала VMware. VMware также отслеживает уязвимости системы безопасности в публичных репозиториях для выявления новых уязвимостей, которые могут повлиять на один или несколько наших продуктов.

 

Подтверждение и первоначальный анализ

После получения отчета об уязвимости специалисты VMware изучат его и определят, какие продукты затронуты и каков уровень опасности. Компания VMware предоставит сотруднику, сообщившему об уязвимости, обратную связь и поможет устранить проблему.

 

Если отчет об уязвимости общедоступный и не существует исправления, VMware подтвердит отчет, опубликовав статью в базе знаний. Эта статья будет содержать ссылки на общедоступные источники, в которых сообщается об уязвимости. При возможности в статье будут также описаны действия, с помощью которых пользователи могут защитить систему VMware от эксплуатации уязвимости.

 

Исправление уязвимости или способ устранения проблемы

Компания VMware выпускает исправления для обнаруженных уязвимостей. Исправление может быть предоставлено в следующих формах:

  • выпуск новой или дополнительной версии затронутого продукта VMware;
  • техническое обновление затронутого продукта VMware;
  • исправление, которое устанавливается поверх затронутого продукта VMware;
  • инструкции по скачиванию и установке обновления или исправления для стороннего программного компонента, входящего в состав продукта VMware;
  • рекомендации по исправлению уязвимости или решению проблемы для пользователей, в которых описываются действия по изменению конфигурации продуктов VMware для уменьшения возможности эксплуатации уязвимости.

 

Уведомления VMware для заказчиков

Когда становится доступно исправление или рекомендации по устранению для уязвимости, компания VMware уведомляет заказчиков одним из следующих способов:

  • статья базы знаний VMware и (или) информация о версии с описанием исправления или рекомендациями по устранению проблемы;
  • рекомендации VMware по обеспечению безопасности с подробным описанием уязвимости системы безопасности и ссылкой на статью базы знаний и (или) информацию о версии.

Примечание. Рекомендации VMware по обеспечению безопасности публикуются на странице www.vmware.com/ru/security/advisories и рассылаются подписчикам рассылки уведомлений VMware об обеспечении безопасности. Чтобы подписаться на эту рассылку, введите адрес электронной почты в поле «Регистрация для получения рекомендаций по безопасности» на странице www.vmware.com/ru/security/advisories.

 

Версии продуктов, которые компания VMware исправляет

Политики жизненного цикла продуктов VMware определяют сроки поддержки ПО, чтобы заказчики могли принимать долгосрочные решения по управлению изменениями и определять стратегии выпуска. Заказчикам следует ознакомиться с политикой жизненного цикла используемого продукта.

 

Время реагирования компании VMware зависит от уровня опасности обнаруженной уязвимости.

Критическая

Компания VMware незамедлительно приступит к созданию исправления или рекомендаций по устранению проблемы. VMware предоставит заказчикам исправление или рекомендации по решению проблемы в кратчайшие коммерчески оправданные сроки.

 

Важная

Компания VMware предоставит исправление при следующем плановом обслуживании или выпуске обновления продукта, а в некоторых случаях VMware выпустит исправление.

 

Средний или низкий уровень опасности

Компания VMware предоставит исправление в следующем выпуске новой или дополнительной версии продукта.