Bollettino sulla sicurezza Zoom per le divulgazioni su Apache Log4j
Ultimo aggiornamento: 14 gennaio 2022 alle 15:55 Ora Standard del Pacifico USA
RIepilogo
Zoom ha analizzato i nostri prodotti e servizi per identificare e ridurre a minimo le vulnerabilità di Apache Log4j divulgate in CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 e CVE-2021-44832. Zoom continua a ridurre al minimo e a correggere le versioni vulnerabili di Log4j in conformità con le raccomandazioni di Apache. Abbiamo in programma di aggiornare le istanze Log4j vulnerabili identificate con l'ultima versione disponibile non appena saranno disponibili e avranno superato i test.
Per Zoom, correggere queste vulnerabilità è una priorità assoluta. Monitoriamo attentamente la situazione e siamo impegnati diligentemente per risolverla il prima possibile. Aggiorneremo questa pagina non appena avremo informazioni materiali disponibili.
Sulla base dei risultati ottenuti a oggi, di seguito abbiamo delineato lo stato attuale dei prodotti e dei servizi Zoom.
Prodotti e servizi Zoom
Stato
Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom
Zoom desktop client per Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (e plug-in VDI) e Web client non utilizzano le versioni vulnerabili di Log4j.
Al momento gli utenti non devono eseguire alcuna azione.
Backend di produzione di Zoom (escluso il software commerciale di terze parti)*
Il back-end di produzione di Zoom (escluso il software commerciale di terze parti) è stato aggiornato alla versione 2.16.0 Log4j come versione minima o è stato attenuato per risolvere i problemi identificati in CVE 2021-44228 e CVE-2021-45046. Zoom ha condotto una valutazione dei problemi in CVE-2021-44832 e CVE-2021-45105 e ha determinato la non vulnerabilità del nostro backend di produzione grazie alle condizioni necessarie allo sfruttamento.
Software commerciale di terze parti per il backend di produzione di Zoom
Stiamo valutando la situazione con i nostri fornitori di software commerciale di terze parti. Abbiamo applicato e continueremo ad applicare gli aggiornamenti non appena saranno disponibili.
I principali fornitori di software di terze parti di Zoom sono stati aggiornati o ridotti al minimo.
Zoom per la Pubblica Amministrazione
Zoom desktop client per Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (e plug-in VDI) e Web client non utilizzano le versioni vulnerabili di Log4j.
Al momento gli utenti non devono eseguire alcuna azione.
Zoom Phone
I client Zoom Phone non utilizzano le versioni vulnerabili di Log4j.
Al momento gli utenti non devono eseguire alcuna azione.
Zoom Rooms e Zoom for Home
I client Zoom Rooms e Zoom for Home non utilizzano le versioni vulnerabili di Log4j.
Al momento gli utenti non devono eseguire alcuna azione.
Zoom Team Chat
I client Zoom Team Chat non utilizzano le versioni vulnerabili di Log4j.
Al momento gli utenti non devono eseguire alcuna azione.
Zoom Marketplace
Per il nostro backend, abbiamo applicato le mitigazioni consigliate da Apache e aggiornato tutti i sistemi identificati fino a oggi a Log4j versione 2.16.0 come versione minima. Al momento gli utenti non devono eseguire alcuna azione.
SKI e API della Zoom Developer Platform
Zoom SDKs non utilizzano le versioni vulnerabili di Log4j.
Al momento gli utenti non devono eseguire alcuna azione.
Implementazione in sede di Zoom
Zoom Hybrid MMR, VRC, Connettore riunioni, Connettore API e Connettore Registrazione non utilizzano le versioni vulnerabili di Log4j.
Servizi forniti da terze parti
Stiamo valutando la situazione con i nostri partner di terze parti.
Dispositivi partner per Zoom Phone e Zoom Rooms
I nostri dispositivi partner per Zoom Phone e Zoom Rooms hanno confermato che non sono stati interessati.
Zoom Apps
I nostri sviluppatori di Zoom Apps di terze parti hanno confermato che tutte le app Zoom che utilizzano una versione vulnerabile di Log4j sono state aggiornate o ridotte al minimo.
Nota di redazione: questo bollettino è stato modificato il 14 gennaio 2022 per includere le informazioni più aggiornate sulla risposta di Zoom alle vulnerabilità CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 e CVE-2021-44832.