Apache Log4j の開示に関する Zoom セキュリティ速報

Zoom の製品とサービス

ステータス

Zoom Meetings、Zoom Events、Zoom Webinars、OnZoom

Zoom Clients for Windows、Mac、Linux、iOS、Android、BlackBerry、VDI（および VDI プラグイン）、ならびに Zoom ウェブ クライアントは、脆弱な Log4j バージョンを使用しておりません。

当面、ユーザーが取るべきアクションはありません。

Zoom の本番バックエンド（サードパーティの商用ソフトウェア以外）*

Zoom の本番バックエンド（サードパーティの商用ソフトウェア以外）は、Log4j バージョン 2.16.0 以降への更新、または CVE 2021-44228 と CVE-2021-45046 で特定された問題に対処するための緩和が完了しています。 Zoom は CVE-2021-44832 と CVE-2021-45105 に記載された問題の評価を実施し、Zoom の本番バックエンドには、悪用に必要な条件による脆弱性がないと判断しました。

Zoom の本番バックエンドで使用されているサードパーティの商用ソフトウェア

サードパーティの商用ソフトウェア ベンダーと連携し、状況評価のプロセスを進めています。 Zoom では、それぞれ利用可能になり次第、すべての更新を適用しており、さらに今後も適用していく予定です。
Zoom の主要なサードパーティ ソフトウェア ベンダーは更新または緩和が完了しています。

行政機関向け Zoom

Zoom Clients for Windows、Mac、Linux、iOS、Android、BlackBerry、VDI（および VDI プラグイン）、ならびに Zoom ウェブ クライアントは、脆弱な Log4j バージョンを使用しておりません。

当面、ユーザーが取るべきアクションはありません。

Zoom Phone

Zoom Phone デスクトップ クライアントおよび Zoom Phone モバイルアプリは、脆弱な Log4j バージョンを使用しておりません。

当面、ユーザーが取るべきアクションはありません。

Zoom Rooms と Zoom for Home

Zoom Rooms および Zoom for Home デスクトップ クライアントおよびモバイルアプリは、脆弱な Log4j バージョンを使用しておりません。

当面、ユーザーが取るべきアクションはありません。

Zoom Team Chat

Zoom Team Chat デスクトップ クライアントおよび Zoom Team Chat モバイルアプリは、脆弱な Log4j バージョンを使用しておりません。

当面、ユーザーが取るべきアクションはありません。

Zoom マーケットプレイス

Zoom のバックエンドでは、Apache の推奨する緩和策を適用し、これまでに特定したシステムすべてを Log4j バージョン 2.16.0 以降のバージョンに更新しました。 当面、ユーザーが取るべきアクションはありません。

Zoom デベロッパー向けプラットフォーム API および SDK

Zoom SDK は、脆弱な Log4j バージョンを使用しておりません。

当面、ユーザーが取るべきアクションはありません。

Zoom オンプレミス展開

Zoom ハイブリッド MMR、VRC、ミーティング コネクタ、API コネクタ、レコーディング コネクタは、脆弱な Log4j バージョンを使用しておりません。

サードパーティが提供するサービス

サードパーティと連携し、状況評価のプロセスを進めています。

Zoom Phone および Zoom Rooms のデバイス パートナー

Zoom Phone および Zoom Rooms のデバイス パートナーからは、脆弱性の影響を受けないことを確認済みです。

Zoom Apps

サードパーティの Zoom Apps のデベロッパーからは、脆弱な Log4j バージョンを使用する Zoom Apps すべてで更新と緩和が完了していると確認報告を受けています。