Biuletyn zabezpieczeń Zoom dotyczący ujawnionej podatności Apache Log4j
Ostatnia aktualizacja: 14 stycznia 2022 roku o 15:55 PST
Omówienie
Zoom analizuje nasze produkty i usługi w celu zidentyfikowania i złagodzenia podatności Apache Log4j ujawnionych w CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 i CVE-2021-44832. Zoom kontynuuje łagodzenie i łatanie podatnych na ataki wersji Log4j zgodnie z zaleceniami Apache. Planujemy zaktualizować zidentyfikowane podatne instancje Log4j do najnowszej dostępnej wersji, gdy tylko staną się dostępne i przejdą testy.
Usunięcie tych podatności jest najwyższym priorytetem Zoom. Uważnie monitorujemy sytuację i pilnie pracujemy nad jej jak najszybszym rozwiązaniem. Ta strona będzie aktualizowana, gdy dostępne będą nowe istotne informacje.
Na podstawie naszych dotychczasowych ustaleń przedstawiliśmy poniżej aktualny stan produktów i usług Zoom.
Produkty i usługi Zoom
Status
Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom
Klienci Zoom dla systemów Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (i wtyczki VDI) oraz klienci internetowi nie korzystają z podatnych wersji Log4j.
Obecnie użytkownicy nie muszą podejmować żadnych działań.
Backend produkcyjny Zoom (z wyłączeniem oprogramowania komercyjnego innych firm)*
Backend produkcyjny Zoom (z wyłączeniem oprogramowania komercyjnego innych firm) został zaktualizowany do wersji Log4j 2.16.0 jako wersji minimalnej lub zastosowano odpowiednie środki łagodzące w celu rozwiązania problemów zidentyfikowanych w CVE 2021-44228 i CVE-2021-45046. Firma Zoom przeprowadziła ocenę problemów w CVE-2021-44832 i CVE-2021-45105 i ustaliła, że nasz backend produkcyjny nie jest podatny ze względu na warunki wymagane do eksploatacji.
Oprogramowanie komercyjne innych firm w zakresie backendu produkcyjnego firmy Zoom
Jesteśmy w trakcie oceny sytuacji, którą przeprowadzamy we współpracy z naszymi zewnętrznymi dostawcami oprogramowania komercyjnego. Stosujemy i planujemy kontynuować stosowanie wszelkich aktualizacji, gdy tylko będą dostępne.
Zaktualizowano głównych dostawców oprogramowania innych firm dla Zoom lub zastosowano odpowiednie środki łagodzące.
Zoom dla rządu
Klienci Zoom dla systemów Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (i wtyczki VDI) oraz klienci internetowi nie korzystają z podatnych wersji Log4j.
Obecnie użytkownicy nie muszą podejmować żadnych działań.
Zoom Phone
Klienci Zoom Phone nie korzystają z podatnych wersji Log4j.
Obecnie użytkownicy nie muszą podejmować żadnych działań.
Zoom Rooms i Zoom for Home
Klienci Zoom Rooms i Zoom for Home nie korzystają z podatnych wersji Log4j.
Obecnie użytkownicy nie muszą podejmować żadnych działań.
Zoom Team Chat
Klienci Zoom Team Chat nie korzystają z podatnych wersji Log4j.
Obecnie użytkownicy nie muszą podejmować żadnych działań.
Zoom Marketplace
W zakresie naszego backendu zastosowaliśmy zalecane przez Apache środki łagodzące i zaktualizowaliśmy wszystkie zidentyfikowane do tej pory systemy do wersji Log4j 2.16.0 jako wersji minimalnej. Obecnie użytkownicy nie muszą podejmować żadnych działań.
API i SDK platformy dla deweloperów Zoom
Zestawy Zoom SDK nie korzystają z podatnych wersji Log4j.
Obecnie użytkownicy nie muszą podejmować żadnych działań.
Lokalne wdrożenie Zoom
Zoom Hybrid MMR, VRC, Meeting Connector, API Connector i Recording Connector nie korzystają z podatnych wersji Log4j.
Usługi świadczone przez strony trzecie
Jesteśmy w trakcie oceny sytuacji we współpracy z naszymi stronami trzecimi.
Partnerzy w zakresie urządzeń dla Zoom Phone i Zoom Rooms
Nasi partnerzy w zakresie urządzeń Zoom Phone i Zoom Rooms potwierdzili, że podatności nie mają wpływu na ich działanie.
Zoom Apps
Nasi zewnętrzni programiści Zoom Apps potwierdzili, że każda aplikacja Zoom korzystająca z podatnej wersji Log4j została zaktualizowana lub zostały zastosowane odpowiednie środki łagodzące.