Zoom-beveiligingsbulletin voor openbaarmakingen Apache Log4j

Laatst bijgewerkt: 14 jan 2022 om 15:55 PST

Samenvatting

Zoom heeft onze producten en services geanalyseerd om Apache Log4j-kwetsbaarheden te identificeren en te beperken die zijn onthuld in CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 en CVE-2021-44832. Zoom blijft kwetsbare versies van Log4j beperken en patchen in overeenstemming met de aanbevelingen van Apache. We zijn van plan om geïdentificeerde kwetsbare Log4j-instanties bij te werken met de nieuwste beschikbare versies zodra deze beschikbaar zijn en na het testen.

Deze kwetsbaarheden zijn een topprioriteit voor Zoom. We houden de situatie nauwlettend in de gaten en werken er hard aan om zo snel mogelijk voor een oplossing te zorgen. Deze pagina wordt bijgewerkt zodra belangrijke nieuwe informatie beschikbaar komt.

Op basis van onze bevindingen tot nu toe hebben we hieronder de huidige status van Zoom-producten en -services beschreven.

Zoom-producten en -diensten

Status

Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom

Zoom clients voor Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (en VDI-plug-in) en webclients gebruiken de kwetsbare versies van Log4j niet.

Gebruikers hoeven op dit moment geen actie te ondernemen.

De productie-backend van Zoom (met uitzondering van commerciële software van derden)*

De productie-backend van Zoom (met uitzondering van commerciële software van derden) is bijgewerkt naar Log4j versie 2.16.0 als minimumversie of beperkt om de problemen op te lossen die zijn geïdentificeerd in CVE 2021-44228 en CVE-2021-45046. Zoom onderzocht de problemen in CVE-2021-44832 en CVE-2021-45105 en stelde vast dat onze productie-backend niet kwetsbaar is vanwege de voorwaarden die vereist zijn voor exploitatie.

Zoom's productie-backend commerciële software van derden

We onderzoeken de situatie met onze externe commerciële softwareleveranciers. We hebben updates toegepast en zijn van plan dit te blijven doen zodra deze beschikbaar zijn.
De belangrijkste externe softwareleveranciers van Zoom zijn bijgewerkt of beperkt.

Zoom voor de overheid

Zoom clients voor Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (en VDI-plug-in) en webclients gebruiken de kwetsbare versies van Log4j niet.

Gebruikers hoeven op dit moment geen actie te ondernemen.

Zoom Phone

Zoom Phone-clients gebruiken de kwetsbare versies van Log4j niet.

Gebruikers hoeven op dit moment geen actie te ondernemen.

Zoom Rooms en Zoom forHome

Zoom Rooms en Zoom for Home-clients gebruiken de kwetsbare versies van Log4j niet.

Gebruikers hoeven op dit moment geen actie te ondernemen.

Zoom Team Chat

Zoom Team Chat-clients gebruiken de kwetsbare versies van Log4j niet.

Gebruikers hoeven op dit moment geen actie te ondernemen.

Zoom Marketplace

Voor onze backend hebben we de aanbevolen maatregelen van Apache toegepast en alle geïdentificeerde systemen bijgewerkt naar Log4j versie 2.16.0 als de minimale versie. Gebruikers hoeven op dit moment geen actie te ondernemen.

Zoom-ontwikkelaarsplatform API's & SDK's

Zoom SDK's gebruiken de kwetsbare versies van Log4j niet.

Gebruikers hoeven op dit moment geen actie te ondernemen.

Lokale implementatie Zoom

De Zoom Hybrid MMR, VRC, Meeting Connector, API Connector en Recording Connector maken geen gebruik van de kwetsbare versies van Log4j.

Diensten geleverd door derden

We onderzoeken de situatie met onze derden.

Apparaatpartners voor Zoom Phone en Zoom Rooms

Onze apparaatpartners voor Zoom Phone en Zoom Rooms hebben bevestigd dat ze geen impact ondervinden.

Zoom Apps

Onze externe Zoom Apps-ontwikkelaars hebben bevestigd dat elke Zoom-app die een kwetsbare versie van Log4j gebruikt, is bijgewerkt of beperkt.

Opmerking van de redacteur: dit bulletin is bewerkt op 14 januari 2022 met de meest actuele informatie over de reactie van Zoom op de kwetsbaarheden CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 en CVE-2021-44832.