Zoom Sicherheits-Bulletin zu Apache Log4j-Offenlegungen
Letzte Aktualisierung: 14. Jan 2022 um 15:55 Uhr PST
Zusammenfassung
Zoom hat unsere Produkte und Dienstleistungen analysiert, um Apache Log4j-Schwachstellen zu identifizieren und einzuschränken, die in CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 und CVE-2021-44832 offengelegt sind. Zoom patcht weiterhin anfällige Versionen von Log4j in Übereinstimmung mit den Empfehlungen von Apache oder schränkt sie entsprechend ein. Wir planen, identifizierte anfällige Log4j-Instanzen mit der neuesten verfügbaren Version zu aktualisieren, sobald sie verfügbar sind und die Tests abgeschlossen wurden.
Die Behebung dieser Sicherheitsanfälligkeiten hat für Zoom oberste Priorität. Wir beobachten die Situation genau und arbeiten fleißig daran, das Problem so schnell wie möglich zu beseitigen. Diese Seite wird aktualisiert, sobald wesentliche Informationen verfügbar sind.
Auf Grundlage von unseren bisherigen Erkenntnissen haben wir im Folgenden den aktuellen Status der Zoom-Produkte und -Dienstleistungen erläutert.
Zoom-Produkte und -Dienstleistungen
Status
Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom
Zoom Clients für Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (und VDI-Plug-in) sowie Web Clients verwenden nicht die anfälligen Versionen von Log4j.
Zu diesem Zeitpunkt sind keine Maßnahmen durch Benutzer erforderlich.
Produktions-Backend von Zoom (ausgenommen kommerzielle Software von Drittanbietern)*
Das Produktions-Backend von Zoom (mit Ausnahme kommerzieller Software von Drittanbietern) wurde auf Log4j Version 2.16.0 als Mindestversion aktualisiert oder eingeschränkt, um die in CVE 2021-44228 und CVE-2021-45046 identifizierten Probleme zu beheben. Zoom führte eine Bewertung der Probleme in CVE-2021-44832 und CVE-2021-45105 durch und stellte fest, dass unser Produktions-Backend aufgrund der für die Nutzung erforderlichen Bedingungen nicht anfällig ist.
Kommerzielle Software von Drittanbietern im Produktions-Backend von Zoom
Wir sind dabei, die Situation mit unseren kommerziellen Softwareanbietern zu bewerten. Wir haben und werden weiterhin alle Updates anwenden, sobald sie verfügbar sind.
Die wichtigsten Drittanbieter von Zoom wurden aktualisiert oder eingeschränkt.
Zoom für Behörden
Zoom Clients für Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (und VDI-Plug-in) sowie Web Clients verwenden nicht die anfälligen Versionen von Log4j.
Zu diesem Zeitpunkt sind keine Maßnahmen durch Benutzer erforderlich.
Zoom Phone
Zoom Phone-Clients verwenden nicht die anfälligen Versionen von Log4j.
Zu diesem Zeitpunkt sind keine Maßnahmen durch Benutzer erforderlich.
Zoom Rooms und Zoom for Home
Zoom Rooms- und Zoom for Home-Clients verwenden nicht die anfälligen Versionen von Log4j.
Zu diesem Zeitpunkt sind keine Maßnahmen durch Benutzer erforderlich.
Zoom Team Chat
Zoom Team Chat-Clients verwenden nicht die anfälligen Versionen von Log4j.
Zu diesem Zeitpunkt sind keine Maßnahmen durch Benutzer erforderlich.
Zoom Marketplace
Für unser Backend haben wir die von Apache empfohlenen Risikominderungen angewendet und alle bisher identifizierten Systeme auf Log4j Version 2.16.0 als Mindestversion aktualisiert. Zu diesem Zeitpunkt sind keine Maßnahmen durch Benutzer erforderlich.
Zoom Developer Platform-APIs und -SDKs
Zoom SDKs verwenden nicht die anfälligen Versionen von Log4j.
Zu diesem Zeitpunkt sind keine Maßnahmen durch Benutzer erforderlich.
Lokale Bereitstellung von Zoom
Zoom Hybrid MMR, VRC, Meeting-Connector, API-Connector und Recording Connector verwenden nicht die anfälligen Versionen von Log4j.
Dienstleistungen von Drittanbietern
Wir sind dabei, die Situation mit unseren Drittanbietern zu bewerten.
Gerätepartner für Zoom Phone und Zoom Rooms
Unsere Gerätepartner für Zoom Phone und Zoom Rooms haben bestätigt, dass sie nicht betroffen sind.
Zoom Apps
Unsere Zoom Apps-Entwickler von Drittanbietern haben bestätigt, dass jede Zoom-App, die eine anfällige Version von Log4j verwendet, aktualisiert oder eingeschränkt wurde.