Boletín de seguridad de Zoom para las divulgaciones de Apache Log4j

Productos y servicios de Zoom

Estado

Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom

Zoom Desktop Clients para Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (y el complemento de VDI) y clientes web no utilizan las versiones vulnerables de Log4j.

No es necesario que los usuarios realicen ninguna acción en este momento.

Backend de producción de Zoom (excluido el software comercial de terceros)

El backend de producción de Zoom (excluido el software comercial de terceros) se ha actualizado a la versión 2.16.0 de Log4j como versión mínima o se ha mitigado para solucionar los problemas identificados en CVE 2021-44228 y CVE-2021-45046. Zoom realizó una evaluación de los problemas en CVE-2021-44832 y CVE-2021-45105 y determinó que nuestro backend de producción no es vulnerable debido a las condiciones requeridas para su explotación.

Software comercial de terceros del backend de producción de Zoom

Estamos evaluando la situación con nuestros proveedores de software comercial de terceros. Ya hemos aplicado y tenemos previsto seguir aplicando las actualizaciones a medida que estén disponibles.
Los principales proveedores de software de terceros de Zoom se han actualizado o mitigado.

Zoom para el gobierno

Zoom Desktop Clients para Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (y el complemento de VDI) y clientes web no utilizan las versiones vulnerables de Log4j.

No es necesario que los usuarios realicen ninguna acción en este momento.

Zoom Phone

Los clientes de Zoom Phone no utilizan las versiones vulnerables de Log4j.

No es necesario que los usuarios realicen ninguna acción en este momento.

Zoom Rooms y Zoom for Home

Los clientes Zoom Rooms y Zoom for Home no utilizan las versiones vulnerables de Log4j.

No es necesario que los usuarios realicen ninguna acción en este momento.

Zoom Team Chat

Los clientes de Zoom Team Chat no utilizan las versiones vulnerables de Log4j.

No es necesario que los usuarios realicen ninguna acción en este momento.

Zoom Marketplace

Para nuestro backend, hemos aplicado las mitigaciones recomendadas por Apache y hemos actualizado los sistemas identificados hasta la fecha a la versión 2.16.0 de Log4j como versión mínima. No es necesario que los usuarios realicen ninguna acción en este momento.

API y SDK de la plataforma para desarrolladores de Zoom

Zoom SDKs no utilizan las versiones vulnerables de Log4j.

No es necesario que los usuarios realicen ninguna acción en este momento.

Implementación local de Zoom

El MMR híbrido de Zoom, el VRC, el Conector de reunión, el Conector de API y el Conector de grabación no utilizan las versiones vulnerables de Log4j.

Servicios prestados por terceros

Estamos evaluando la situación con nuestros terceros.

Socios de dispositivos para Zoom Phone y Zoom Rooms

Nuestros socios de dispositivos para Zoom Phone y Zoom Rooms han confirmado que no están afectados.

Zoom Apps

Nuestros desarrolladores de Zoom Apps de terceros han confirmado que toda Zoom App que utilice una versión vulnerable de Log4j se ha actualizado o mitigado.