Buletin Keamanan Zoom untuk Pengungkapan Apache Log4j

Terakhir diperbarui: 14 Jan 2022 pukul 15.55 PST

Ringkasan

Zoom telah menganalisis produk dan layanan kami untuk mengidentifikasi dan mengurangi kerentanan Apache Log4j yang diungkapkan dalam CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, and CVE-2021-44832. Zoom terus mengurangi dan menambal versi Log4j yang rentan sesuai dengan rekomendasi Apache. Kami berencana untuk memperbarui instans Log4j rentan yang teridentifikasi dengan versi terbaru yang tersedia setelah versi tersebut tersedia dan mengikuti pengujian.

Mengatasi kerentanan tersebut adalah prioritas utama bagi Zoom. Kami memantau situasi dengan saksama dan bekerja dengan giat untuk menyelesaikannya sesegera mungkin. Halaman ini akan diperbarui saat informasi material tersedia.

Berdasarkan temuan kami hingga saat ini, kami telah menguraikan di bawah status produk dan layanan Zoom saat ini.

Produk dan Layanan Zoom

Status

Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom

Zoom desktop clients untuk Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (dan plug-in VDI), dan web client tidak menggunakan versi Log4j yang rentan.

Tidak ada tindakan yang diperlukan oleh pengguna saat ini.

Ujung Belakang Produksi Zoom (tidak termasuk Perangkat Lunak Komersial Pihak Ketiga)*

Ujung belakang produksi Zoom (tidak termasuk perangkat lunak komersial pihak ketiga) telah diperbarui ke Log4j versi 2.16.0 sebagai versi minimum atau dimitigasi untuk mengatasi masalah yang diidentifikasi dalam CVE 2021-44228 dan CVE-2021-45046. Zoom melakukan penilaian terhadap masalah tersebut di CVE-2021-44832 dan CVE-2021-45105 serta menentukan bahwa ujung belakang produksi kami tidak rentan karena kondisi yang diperlukan untuk eksploitasi.

Perangkat Lunak Komersial Pihak Ketiga Ujung Belakang Produksi Zoom

Kami sedang dalam proses menilai situasi dengan vendor perangkat lunak komersial pihak ketiga. Kami harus dan berencana untuk terus menerapkan pembaruan apa pun saat telah tersedia.
Vendor perangkat lunak pihak ketiga inti Zoom telah diperbarui atau dimitigasi.

Zoom untuk Pemerintahan

Zoom desktop clients untuk Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (dan plug-in VDI), dan web client tidak menggunakan versi Log4j yang rentan.

Tidak ada tindakan yang diperlukan oleh pengguna saat ini.

Zoom Phone

Klien Zoom Phone tidak menggunakan versi Log4j yang rentan.

Tidak ada tindakan yang diperlukan oleh pengguna saat ini.

Zoom Rooms dan Zoom for Home

Klien Zoom Rooms dan Zoom for Home tidak menggunakan versi Log4j yang rentan.

Tidak ada tindakan yang diperlukan oleh pengguna saat ini.

Zoom Team Chat

Klien Zoom Team Chat tidak menggunakan versi Log4j yang rentan.

Tidak ada tindakan yang diperlukan oleh pengguna saat ini.

Zoom Marketplace

Untuk ujung belakang, kami telah menerapkan mitigasi yang direkomendasikan Apache dan memperbarui sistem apa pun yang diidentifikasi hingga saat ini ke Log4j versi 2.16.0 sebagai versi minimum. Tidak ada tindakan yang diperlukan oleh pengguna saat ini.

API & SDK Zoom Developer Platform

Zoom SDKs tidak menggunakan versi Log4j yang rentan.

Tidak ada tindakan yang diperlukan oleh pengguna saat ini.

Penyebaran Lokal Zoom

Zoom Hybrid MMR, VRC, konektor Rapat, API Konektor, dan Konektor Rekaman tidak menggunakan versi Log4j yang rentan.

Layanan yang Disediakan oleh Pihak Ketiga

Kami sedang dalam proses menilai situasi dengan pihak ketiga.

Mitra Perangkat untuk Zoom Phone dan Zoom Rooms

Mitra perangkat kami untuk Zoom Phone dan Zoom Rooms telah mengonfirmasi bahwa mereka tidak terpengaruh.

Zoom Apps

Pengembang Zoom Apps pihak ketiga kami telah mengonfirmasi bahwa Aplikasi Zoom yang menggunakan versi Log4j yang rentan telah diperbarui atau dimitigasi.

Catatan editor: Buletin ini diedit pada 14 Januari 2022 untuk menyertakan informasi terbaru tentang respons Zoom terhadap kerentanan CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, dan CVE-2021-44832.