Apache Log4j の開示に関する Zoom セキュリティ速報

更新日: 2022年1月14日午後3時55分(PST)

概要

CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832 で開示された Apache Log4j の脆弱性を特定し、緩和するために、Zoom は Zoom のプロダクトとサービスの分析を続けてきました。 Zoom は今後も Apache の推奨事項に従い、脆弱な Log4j のバージョンの緩和とパッチ付与を継続していきます。 脆弱であると特定した Log4j インスタンスは、利用可能な最新バージョンがオンラインになり、テストが終わり次第、更新する予定です。

これらの脆弱性への対応は、Zoom の最優先事項の 1 つです。 細かく状況をモニタリングし、できる限り早急に解決するために鋭意努力中です。 このページは重要な情報が利用可能になり次第、更新いたします。

Zoom のこれまでの調査結果に基づき、以下に Zoom の製品とサービスの現状を簡単にまとめました。

Zoom の製品とサービス

ステータス

Zoom Meetings、Zoom Events、Zoom Webinars、OnZoom

Zoom Clients for Windows、Mac、Linux、iOS、Android、BlackBerry、VDI(および VDI プラグイン)、ならびに Zoom ウェブ クライアントは、脆弱な Log4j バージョンを使用しておりません。

当面、ユーザーが取るべきアクションはありません。

Zoom の本番バックエンド(サードパーティの商用ソフトウェア以外)*

Zoom の本番バックエンド(サードパーティの商用ソフトウェア以外)は、Log4j バージョン 2.16.0 以降への更新、または CVE 2021-44228 と CVE-2021-45046 で特定された問題に対処するための緩和が完了しています。 Zoom は CVE-2021-44832 と CVE-2021-45105 に記載された問題の評価を実施し、Zoom の本番バックエンドには、悪用に必要な条件による脆弱性がないと判断しました。

Zoom の本番バックエンドで使用されているサードパーティの商用ソフトウェア

サードパーティの商用ソフトウェア ベンダーと連携し、状況評価のプロセスを進めています。 Zoom では、それぞれ利用可能になり次第、すべての更新を適用しており、さらに今後も適用していく予定です。
Zoom の主要なサードパーティ ソフトウェア ベンダーは更新または緩和が完了しています。

行政機関向け Zoom

Zoom Clients for Windows、Mac、Linux、iOS、Android、BlackBerry、VDI(および VDI プラグイン)、ならびに Zoom ウェブ クライアントは、脆弱な Log4j バージョンを使用しておりません。

当面、ユーザーが取るべきアクションはありません。

Zoom Phone

Zoom Phone デスクトップ クライアントおよび Zoom Phone モバイルアプリは、脆弱な Log4j バージョンを使用しておりません。

当面、ユーザーが取るべきアクションはありません。

Zoom Rooms と Zoom for Home

Zoom Rooms および Zoom for Home デスクトップ クライアントおよびモバイルアプリは、脆弱な Log4j バージョンを使用しておりません。

当面、ユーザーが取るべきアクションはありません。

Zoom Team Chat

Zoom Team Chat デスクトップ クライアントおよび Zoom Team Chat モバイルアプリは、脆弱な Log4j バージョンを使用しておりません。

当面、ユーザーが取るべきアクションはありません。

Zoom マーケットプレイス

Zoom のバックエンドでは、Apache の推奨する緩和策を適用し、これまでに特定したシステムすべてを Log4j バージョン 2.16.0 以降のバージョンに更新しました。 当面、ユーザーが取るべきアクションはありません。

Zoom デベロッパー向けプラットフォーム API および SDK

Zoom SDK は、脆弱な Log4j バージョンを使用しておりません。

当面、ユーザーが取るべきアクションはありません。

Zoom オンプレミス展開

Zoom ハイブリッド MMR、VRC、ミーティング コネクタ、API コネクタ、レコーディング コネクタは、脆弱な Log4j バージョンを使用しておりません。

サードパーティが提供するサービス

サードパーティと連携し、状況評価のプロセスを進めています。

Zoom Phone および Zoom Rooms のデバイス パートナー

Zoom Phone および Zoom Rooms のデバイス パートナーからは、脆弱性の影響を受けないことを確認済みです。

Zoom Apps

サードパーティの Zoom Apps のデベロッパーからは、脆弱な Log4j バージョンを使用する Zoom Apps すべてで更新と緩和が完了していると確認報告を受けています。

編集者注: この速報は 2022 年 1 月 14 日に編集し、CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832 に記載された脆弱性への Zoom の対処に関する最新情報を含めました。