Bulletin de sécurité de Zoom concernant les divulgations d'Apache Log4j
Dernière mise à jour : 14 janvier 2022 à 15h55 PST
Résumé
Zoom a analysé nos produits et services afin d’identifier et d’atténuer les vulnérabilités d'Apache Log4j révélées dans CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 et CVE-2021-44832. Zoom continue d’atténuer et de corriger les versions vulnérables de Log4j conformément aux recommandations d’Apache. Nous prévoyons de mettre à jour les instances de Log4j vulnérables identifiées avec la dernière version disponible dès qu’elle est disponible et après avoir effectué des tests.
La résolution de ces vulnérabilités est une priorité absolue pour Zoom. Nous surveillons de près la situation et travaillons avec diligence pour y remédier le plus rapidement possible. Cette page sera mise à jour à mesure que nous aurons de nouvelles informations importantes.
Sur la base de nos conclusions à ce jour, nous avons décrit ci-dessous le statut actuel des produits et services Zoom.
Produits et services Zoom
Statut
Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom
Les clients Zoom pour Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (et plug-in VDI) et les clients Web n’utilisent pas les versions vulnérables de Log4j.
Aucune action des utilisateurs n'est nécessaire pour le moment.
Backend de production de Zoom (à l’exclusion des logiciels commerciaux tiers)*
Le backend de production de Zoom (à l’exclusion des logiciels commerciaux tiers) a été mis à jour vers la version 2.16.0 de Log4j en tant que version minimum ou atténuée pour résoudre les problèmes identifiés dans CVE 2021-44228 et CVE-2021-45046. Zoom a réalisé une évaluation des problèmes dans CVE-2021-44832 et CVE-2021-45105 et a déterminé que notre backend de production n'était pas vulnérable en raison des conditions requises pour l’exploitation.
Logiciels commerciaux tiers du backend de production de Zoom
Nous sommes en train d’évaluer la situation avec nos fournisseurs de logiciels commerciaux tiers. Nous prévoyons de continuer à appliquer toutes les mises à jour dès qu’elles sont disponibles.
Les principaux logiciels tiers de Zoom ont été mis à jour ou atténués.
Zoom pour le gouvernement
Les clients Zoom pour Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (et plug-in VDI) et les clients Web n’utilisent pas les versions vulnérables de Log4j.
Aucune action des utilisateurs n'est nécessaire pour le moment.
Zoom Phone
Les clients Zoom Phone n’utilisent pas les versions vulnérables de Log4j.
Aucune action des utilisateurs n'est nécessaire pour le moment.
Zoom Rooms et Zoom for Home
Les clients Zoom Rooms et Zoom for Home n’utilisent pas les versions vulnérables de Log4j.
Aucune action des utilisateurs n'est nécessaire pour le moment.
Zoom Team Chat
Les clients Zoom Team Chat n’utilisent pas les versions vulnérables de Log4j.
Aucune action des utilisateurs n'est nécessaire pour le moment.
Zoom Marketplace
Pour notre backend, nous avons appliqué les atténuations recommandées par Apache et mis à jour tous les systèmes identifiés à ce jour vers la version 2.16.0 de Log4j comme version minimum. Aucune action des utilisateurs n'est nécessaire pour le moment.
API et SDK de Zoom Developer Platform
Les Zoom SDKs n’utilisent pas les versions vulnérables de Log4j.
Aucune action des utilisateurs n'est nécessaire pour le moment.
Déploiement Zoom sur site
Les MMR hybride, CSV, connecteur de réunion, connecteur d'API et connecteur d'enregistrement de Zoom n'utilisent pas les versions vulnérables de Log4j.
Services fournis par des tiers
Nous sommes en train d’évaluer la situation avec les tierces parties concernées.
Partenaires d’appareils pour Zoom Phone et Zoom Rooms
Nos partenaires d'appareils pour Zoom Phone et Zoom Rooms ont confirmé qu’ils n'étaient pas affectés.
Zoom Apps
Nos développeurs Zoom Apps tiers ont confirmé que toute application Zoom utilisant une version vulnérable de Log4j a été mise à jour ou atténuée.
Note de la rédaction : ce Bulletin a été modifié le 14 janvier 2022 afin d’inclure les informations les plus récentes sur la réponse de Zoom aux vulnérabilités CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 et CVE-2021-44832.