VMware 致力於建置備受信賴的產品,讓客戶將企業中最關鍵的作業託付給我們。我們深知,產品應符合最高的安全性標準,客戶才能安心無虞地部署。這份 VMware 安全性回應原則,旨在詳列我們在解決產品潛在弱點方面的承諾,我們將及時解決這類型的問題,好讓客戶能毫無後顧之憂。

 

VMware 產品的弱點類別

重大弱點

這類型弱點可讓未經驗證的攻擊者透過網際網路發動攻擊,或是破除 Guest / 主機作業系統的隔離狀態。在無需使用者互動的情況下,即可完整破壞使用者資料和 / 或處理資源的機密性、完整性和可用性。這類型弱點可用來散布網際網路蠕蟲,或於虛擬機和 / 或主機作業系統之間,執行任意程式碼。

 

重要弱點

這類型弱點雖未達重大層級,卻可透過使用者協助或藉由經驗證的攻擊者,完整破壞使用者資料和 / 或處理資源的機密性、完整性和可用性。凡是可讓未經驗證的遠端攻擊者,透過網際網路或虛擬機隔離漏洞完整破壞可用性的弱點,都會歸類在這個類別中。

 

中度弱點

這類型弱點可透過設定來大幅削弱其危害,或使其難以施展;但在特定部署情境下,仍有可能破壞使用者資料和 / 或處理資源的機密性、完整性和可用性。

 

低度弱點

包含所有會影響安全性的其他問題。這類型弱點大多難以讓人有機可趁,或者,即使遭到利用,所造成的影響也微乎其微。

 

如何報告弱點

VMware 鼓勵使用者識別 VMware 產品中的安全性弱點,並聯絡 VMware,以提供該弱點的詳細資訊。VMware 已設置專門用來報告弱點的電子郵件地址。請將您找到的任何弱點及其描述,傳送至 security@vmware.com。當中請隨附系統軟硬體設定的詳細資訊,以協助我們重現您報告的問題。

 

注意:建議您使用加密電子郵件。如需我們的公開 PGP 金鑰,請參閱 kb.vmware.com/s/article/1055所定義的服務層級協定。

 

VMware 期望遇到新弱點的使用者能與我們私下聯絡,因為唯有如此,我們才有機會在可疑的弱點遭到公開之前,詳加調查和確認,以維護 VMware 客戶的最大利益。

 

如果弱點是由用於 VMware 產品中的協力廠商軟體元件所察覺,也請透過上述方式與我們聯絡。

 

VMware 如何回應旗下產品中的已報告弱點

監控安全性弱點的來源

VMware 透過郵件信箱,接收由客戶和 VMware 現場人員傳送的私人弱點報告。VMware 也會同時監控軟體安全性弱點的公有映像倉庫,以識別最新發現且可能影響一項或多項產品的弱點。

 

認可並進行初步分析

收到弱點報告後,VMware 會將報告分級,並判斷哪些產品會受到影響,以及弱點的嚴重性為何。VMware 會將意見反映給弱點報告者,並與對方一同解決問題。

 

針對尚未提出可用修正措施的公開報告,VMware 將透過發表知識庫文章來進行認可。這項資訊會將報告弱點的公開來源列為參考資料。如果情況允許,當中也會說明使用者可採取哪些步驟,以防範該弱點對其 VMware 系統造成傷害。

 

修復或修正動作

VMware 將發表已報告弱點的修復措施。這項修復措施可能涵蓋下列一個或多個形式:

  • 受影響 VMware 產品的全新主要或次要版本
  • 受影響 VMware 產品的全新維護或更新版本
  • 可安裝在受影響 VMware 產品上的修補程式
  • 做為 VMware 產品安裝的一環,提供下載和安裝協力廠商軟體元件更新或修補程式的相關指示
  • 指示使用者調整 VMware 產品設定,以抵禦弱點的修正措施或解決辦法

 

VMware 客戶通知

在提供弱點的修復或修正動作後,VMware 將透過下列方式通知旗下客戶:

  • 於 VMware 知識庫文章和 / 或發行注意事項中,詳述修復或修正動作。
  • 於 VMware 安全性摘要報告中詳述安全性弱點,並提供知識庫文章和 / 或發行注意事項,以做為參考資料。

注意:VMware 安全諮詢會發佈在 www.vmware.com/tw/security/advisories,並傳送給 VMware Security 安全性公告郵件清單的訂閱者。如需訂閱該清單,請前往 www.vmware.com/tw/security/advisories,並於「註冊安全諮詢」方塊中輸入電子郵件地址。

 

VMware 將修正的產品版本

VMware 生命週期政策說明軟體支援時間表,協助客戶做出長期變更管理的決策和發行策略。請客戶務必熟悉自身產品的生命週期政策

 

VMware 承諾的回應時間取決於已報告弱點的嚴重性。

重大

VMware 將立即研議修復或修正動作。VMware 將在商業上合理的最短時間內,為客戶提供修復或修正動作。

 

重要

VMware 將於產品所規劃的下一個維護或更新版本中修復問題,如有相關,VMware 將透過修補程式的方式做出修復。

 

中度、低度

VMware 將於產品所規劃的下一個次要或主要版本中修復問題。