Apache Log4j の開示に関する Zoom セキュリティ速報
更新日: 2022年1月14日午後3時55分(PST)
概要
CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832 で開示された Apache Log4j の脆弱性を特定し、緩和するために、Zoom は Zoom のプロダクトとサービスの分析を続けてきました。 Zoom は今後も Apache の推奨事項に従い、脆弱な Log4j のバージョンの緩和とパッチ付与を継続していきます。 脆弱であると特定した Log4j インスタンスは、利用可能な最新バージョンがオンラインになり、テストが終わり次第、更新する予定です。
これらの脆弱性への対応は、Zoom の最優先事項の 1 つです。 細かく状況をモニタリングし、できる限り早急に解決するために鋭意努力中です。 このページは重要な情報が利用可能になり次第、更新いたします。
Zoom のこれまでの調査結果に基づき、以下に Zoom の製品とサービスの現状を簡単にまとめました。
Zoom の製品とサービス
ステータス
Zoom Meetings、Zoom Events、Zoom Webinars、OnZoom
Zoom Clients for Windows、Mac、Linux、iOS、Android、BlackBerry、VDI(および VDI プラグイン)、ならびに Zoom ウェブ クライアントは、脆弱な Log4j バージョンを使用しておりません。
当面、ユーザーが取るべきアクションはありません。
Zoom の本番バックエンド(サードパーティの商用ソフトウェア以外)*
Zoom の本番バックエンド(サードパーティの商用ソフトウェア以外)は、Log4j バージョン 2.16.0 以降への更新、または CVE 2021-44228 と CVE-2021-45046 で特定された問題に対処するための緩和が完了しています。 Zoom は CVE-2021-44832 と CVE-2021-45105 に記載された問題の評価を実施し、Zoom の本番バックエンドには、悪用に必要な条件による脆弱性がないと判断しました。
Zoom の本番バックエンドで使用されているサードパーティの商用ソフトウェア
サードパーティの商用ソフトウェア ベンダーと連携し、状況評価のプロセスを進めています。 Zoom では、それぞれ利用可能になり次第、すべての更新を適用しており、さらに今後も適用していく予定です。
Zoom の主要なサードパーティ ソフトウェア ベンダーは更新または緩和が完了しています。
行政機関向け Zoom
Zoom Clients for Windows、Mac、Linux、iOS、Android、BlackBerry、VDI(および VDI プラグイン)、ならびに Zoom ウェブ クライアントは、脆弱な Log4j バージョンを使用しておりません。
当面、ユーザーが取るべきアクションはありません。
Zoom Phone
Zoom Phone デスクトップ クライアントおよび Zoom Phone モバイルアプリは、脆弱な Log4j バージョンを使用しておりません。
当面、ユーザーが取るべきアクションはありません。
Zoom Rooms と Zoom for Home
Zoom Rooms および Zoom for Home デスクトップ クライアントおよびモバイルアプリは、脆弱な Log4j バージョンを使用しておりません。
当面、ユーザーが取るべきアクションはありません。
Zoom Team Chat
Zoom Team Chat デスクトップ クライアントおよび Zoom Team Chat モバイルアプリは、脆弱な Log4j バージョンを使用しておりません。
当面、ユーザーが取るべきアクションはありません。
Zoom マーケットプレイス
Zoom のバックエンドでは、Apache の推奨する緩和策を適用し、これまでに特定したシステムすべてを Log4j バージョン 2.16.0 以降のバージョンに更新しました。 当面、ユーザーが取るべきアクションはありません。
Zoom デベロッパー向けプラットフォーム API および SDK
Zoom SDK は、脆弱な Log4j バージョンを使用しておりません。
当面、ユーザーが取るべきアクションはありません。
Zoom オンプレミス展開
Zoom ハイブリッド MMR、VRC、ミーティング コネクタ、API コネクタ、レコーディング コネクタは、脆弱な Log4j バージョンを使用しておりません。
サードパーティが提供するサービス
サードパーティと連携し、状況評価のプロセスを進めています。
Zoom Phone および Zoom Rooms のデバイス パートナー
Zoom Phone および Zoom Rooms のデバイス パートナーからは、脆弱性の影響を受けないことを確認済みです。
Zoom Apps
サードパーティの Zoom Apps のデベロッパーからは、脆弱な Log4j バージョンを使用する Zoom Apps すべてで更新と緩和が完了していると確認報告を受けています。