Boletín de seguridad de Zoom para las divulgaciones de Apache Log4j

Última actualización: 14 de enero de 2022 a las 15:55, hora del Pacífico

Resumen

Zoom ha estado analizando nuestros productos y servicios para identificar y mitigar las vulnerabilidades de Apache Log4j divulgadas en CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 y CVE-2021-44832. Zoom continúa mitigando y corrigiendo las versiones vulnerables de Log4j de acuerdo con las recomendaciones de Apache. Tenemos previsto actualizar las instancias de Log4j vulnerables identificadas con la última versión a medida que estén disponibles y una vez realizadas las pruebas.

Abordar estas vulnerabilidades es una prioridad para Zoom. Estamos supervisando de cerca la situación y trabajando con diligencia para resolverla lo antes posible. Esta página se actualizará a medida que se disponga de información concreta.

Sobre la base de nuestros hallazgos hasta la fecha, hemos resumido a continuación el estado actual de los productos y servicios de Zoom.

Productos y servicios de Zoom

Estado

Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom

Zoom Desktop Clients para Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (y el complemento de VDI) y clientes web no utilizan las versiones vulnerables de Log4j.

No es necesario que los usuarios realicen ninguna acción en este momento.

Backend de producción de Zoom (excluido el software comercial de terceros)

El backend de producción de Zoom (excluido el software comercial de terceros) se ha actualizado a la versión 2.16.0 de Log4j como versión mínima o se ha mitigado para solucionar los problemas identificados en CVE 2021-44228 y CVE-2021-45046. Zoom realizó una evaluación de los problemas en CVE-2021-44832 y CVE-2021-45105 y determinó que nuestro backend de producción no es vulnerable debido a las condiciones requeridas para su explotación.

Software comercial de terceros del backend de producción de Zoom

Estamos evaluando la situación con nuestros proveedores de software comercial de terceros. Ya hemos aplicado y tenemos previsto seguir aplicando las actualizaciones a medida que estén disponibles.
Los principales proveedores de software de terceros de Zoom se han actualizado o mitigado.

Zoom para el gobierno

Zoom Desktop Clients para Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (y el complemento de VDI) y clientes web no utilizan las versiones vulnerables de Log4j.

No es necesario que los usuarios realicen ninguna acción en este momento.

Zoom Phone

Los clientes de Zoom Phone no utilizan las versiones vulnerables de Log4j.

No es necesario que los usuarios realicen ninguna acción en este momento.

Zoom Rooms y Zoom for Home

Los clientes Zoom Rooms y Zoom for Home no utilizan las versiones vulnerables de Log4j.

No es necesario que los usuarios realicen ninguna acción en este momento.

Zoom Team Chat

Los clientes de Zoom Team Chat no utilizan las versiones vulnerables de Log4j.

No es necesario que los usuarios realicen ninguna acción en este momento.

Zoom Marketplace

Para nuestro backend, hemos aplicado las mitigaciones recomendadas por Apache y hemos actualizado los sistemas identificados hasta la fecha a la versión 2.16.0 de Log4j como versión mínima. No es necesario que los usuarios realicen ninguna acción en este momento.

API y SDK de la plataforma para desarrolladores de Zoom

Zoom SDKs no utilizan las versiones vulnerables de Log4j.

No es necesario que los usuarios realicen ninguna acción en este momento.

Implementación local de Zoom

El MMR híbrido de Zoom, el VRC, el Conector de reunión, el Conector de API y el Conector de grabación no utilizan las versiones vulnerables de Log4j.

Servicios prestados por terceros

Estamos evaluando la situación con nuestros terceros.

Socios de dispositivos para Zoom Phone y Zoom Rooms

Nuestros socios de dispositivos para Zoom Phone y Zoom Rooms han confirmado que no están afectados.

Zoom Apps

Nuestros desarrolladores de Zoom Apps de terceros han confirmado que toda Zoom App que utilice una versión vulnerable de Log4j se ha actualizado o mitigado.

Nota del editor: este boletín se editó el 14 de enero de 2022 para incluir la información más actualizada sobre la respuesta de Zoom a las vulnerabilidades de CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 y CVE-2021-44832.