Boletín de seguridad de Zoom para las divulgaciones de Apache Log4j
Última actualización: 14 de enero de 2022 a las 15:55, hora del Pacífico
Resumen
Zoom ha estado analizando nuestros productos y servicios para identificar y mitigar las vulnerabilidades de Apache Log4j divulgadas en CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 y CVE-2021-44832. Zoom continúa mitigando y corrigiendo las versiones vulnerables de Log4j de acuerdo con las recomendaciones de Apache. Tenemos previsto actualizar las instancias de Log4j vulnerables identificadas con la última versión a medida que estén disponibles y una vez realizadas las pruebas.
Abordar estas vulnerabilidades es una prioridad para Zoom. Estamos supervisando de cerca la situación y trabajando con diligencia para resolverla lo antes posible. Esta página se actualizará a medida que se disponga de información concreta.
Sobre la base de nuestros hallazgos hasta la fecha, hemos resumido a continuación el estado actual de los productos y servicios de Zoom.
Productos y servicios de Zoom
Estado
Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom
Zoom Desktop Clients para Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (y el complemento de VDI) y clientes web no utilizan las versiones vulnerables de Log4j.
No es necesario que los usuarios realicen ninguna acción en este momento.
Backend de producción de Zoom (excluido el software comercial de terceros)
El backend de producción de Zoom (excluido el software comercial de terceros) se ha actualizado a la versión 2.16.0 de Log4j como versión mínima o se ha mitigado para solucionar los problemas identificados en CVE 2021-44228 y CVE-2021-45046. Zoom realizó una evaluación de los problemas en CVE-2021-44832 y CVE-2021-45105 y determinó que nuestro backend de producción no es vulnerable debido a las condiciones requeridas para su explotación.
Software comercial de terceros del backend de producción de Zoom
Estamos evaluando la situación con nuestros proveedores de software comercial de terceros. Ya hemos aplicado y tenemos previsto seguir aplicando las actualizaciones a medida que estén disponibles.
Los principales proveedores de software de terceros de Zoom se han actualizado o mitigado.
Zoom para el gobierno
Zoom Desktop Clients para Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (y el complemento de VDI) y clientes web no utilizan las versiones vulnerables de Log4j.
No es necesario que los usuarios realicen ninguna acción en este momento.
Zoom Phone
Los clientes de Zoom Phone no utilizan las versiones vulnerables de Log4j.
No es necesario que los usuarios realicen ninguna acción en este momento.
Zoom Rooms y Zoom for Home
Los clientes Zoom Rooms y Zoom for Home no utilizan las versiones vulnerables de Log4j.
No es necesario que los usuarios realicen ninguna acción en este momento.
Zoom Team Chat
Los clientes de Zoom Team Chat no utilizan las versiones vulnerables de Log4j.
No es necesario que los usuarios realicen ninguna acción en este momento.
Zoom Marketplace
Para nuestro backend, hemos aplicado las mitigaciones recomendadas por Apache y hemos actualizado los sistemas identificados hasta la fecha a la versión 2.16.0 de Log4j como versión mínima. No es necesario que los usuarios realicen ninguna acción en este momento.
API y SDK de la plataforma para desarrolladores de Zoom
Zoom SDKs no utilizan las versiones vulnerables de Log4j.
No es necesario que los usuarios realicen ninguna acción en este momento.
Implementación local de Zoom
El MMR híbrido de Zoom, el VRC, el Conector de reunión, el Conector de API y el Conector de grabación no utilizan las versiones vulnerables de Log4j.
Servicios prestados por terceros
Estamos evaluando la situación con nuestros terceros.
Socios de dispositivos para Zoom Phone y Zoom Rooms
Nuestros socios de dispositivos para Zoom Phone y Zoom Rooms han confirmado que no están afectados.
Zoom Apps
Nuestros desarrolladores de Zoom Apps de terceros han confirmado que toda Zoom App que utilice una versión vulnerable de Log4j se ha actualizado o mitigado.