Zoom-beveiligingsbulletin voor openbaarmakingen Apache Log4j
Laatst bijgewerkt: 14 jan 2022 om 15:55 PST
Samenvatting
Zoom heeft onze producten en services geanalyseerd om Apache Log4j-kwetsbaarheden te identificeren en te beperken die zijn onthuld in CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 en CVE-2021-44832. Zoom blijft kwetsbare versies van Log4j beperken en patchen in overeenstemming met de aanbevelingen van Apache. We zijn van plan om geïdentificeerde kwetsbare Log4j-instanties bij te werken met de nieuwste beschikbare versies zodra deze beschikbaar zijn en na het testen.
Deze kwetsbaarheden zijn een topprioriteit voor Zoom. We houden de situatie nauwlettend in de gaten en werken er hard aan om zo snel mogelijk voor een oplossing te zorgen. Deze pagina wordt bijgewerkt zodra belangrijke nieuwe informatie beschikbaar komt.
Op basis van onze bevindingen tot nu toe hebben we hieronder de huidige status van Zoom-producten en -services beschreven.
Zoom-producten en -diensten
Status
Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom
Zoom clients voor Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (en VDI-plug-in) en webclients gebruiken de kwetsbare versies van Log4j niet.
Gebruikers hoeven op dit moment geen actie te ondernemen.
De productie-backend van Zoom (met uitzondering van commerciële software van derden)*
De productie-backend van Zoom (met uitzondering van commerciële software van derden) is bijgewerkt naar Log4j versie 2.16.0 als minimumversie of beperkt om de problemen op te lossen die zijn geïdentificeerd in CVE 2021-44228 en CVE-2021-45046. Zoom onderzocht de problemen in CVE-2021-44832 en CVE-2021-45105 en stelde vast dat onze productie-backend niet kwetsbaar is vanwege de voorwaarden die vereist zijn voor exploitatie.
Zoom's productie-backend commerciële software van derden
We onderzoeken de situatie met onze externe commerciële softwareleveranciers. We hebben updates toegepast en zijn van plan dit te blijven doen zodra deze beschikbaar zijn.
De belangrijkste externe softwareleveranciers van Zoom zijn bijgewerkt of beperkt.
Zoom voor de overheid
Zoom clients voor Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (en VDI-plug-in) en webclients gebruiken de kwetsbare versies van Log4j niet.
Gebruikers hoeven op dit moment geen actie te ondernemen.
Zoom Phone
Zoom Phone-clients gebruiken de kwetsbare versies van Log4j niet.
Gebruikers hoeven op dit moment geen actie te ondernemen.
Zoom Rooms en Zoom forHome
Zoom Rooms en Zoom for Home-clients gebruiken de kwetsbare versies van Log4j niet.
Gebruikers hoeven op dit moment geen actie te ondernemen.
Zoom Team Chat
Zoom Team Chat-clients gebruiken de kwetsbare versies van Log4j niet.
Gebruikers hoeven op dit moment geen actie te ondernemen.
Zoom Marketplace
Voor onze backend hebben we de aanbevolen maatregelen van Apache toegepast en alle geïdentificeerde systemen bijgewerkt naar Log4j versie 2.16.0 als de minimale versie. Gebruikers hoeven op dit moment geen actie te ondernemen.
Zoom-ontwikkelaarsplatform API's & SDK's
Zoom SDK's gebruiken de kwetsbare versies van Log4j niet.
Gebruikers hoeven op dit moment geen actie te ondernemen.
Lokale implementatie Zoom
De Zoom Hybrid MMR, VRC, Meeting Connector, API Connector en Recording Connector maken geen gebruik van de kwetsbare versies van Log4j.
Diensten geleverd door derden
We onderzoeken de situatie met onze derden.
Apparaatpartners voor Zoom Phone en Zoom Rooms
Onze apparaatpartners voor Zoom Phone en Zoom Rooms hebben bevestigd dat ze geen impact ondervinden.
Zoom Apps
Onze externe Zoom Apps-ontwikkelaars hebben bevestigd dat elke Zoom-app die een kwetsbare versie van Log4j gebruikt, is bijgewerkt of beperkt.