Biuletyn zabezpieczeń Zoom dotyczący ujawnionej podatności Apache Log4j

Ostatnia aktualizacja: 14 stycznia 2022 roku o 15:55 PST

Omówienie

Zoom analizuje nasze produkty i usługi w celu zidentyfikowania i złagodzenia podatności Apache Log4j ujawnionych w CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 i CVE-2021-44832. Zoom kontynuuje łagodzenie i łatanie podatnych na ataki wersji Log4j zgodnie z zaleceniami Apache. Planujemy zaktualizować zidentyfikowane podatne instancje Log4j do najnowszej dostępnej wersji, gdy tylko staną się dostępne i przejdą testy.

Usunięcie tych podatności jest najwyższym priorytetem Zoom. Uważnie monitorujemy sytuację i pilnie pracujemy nad jej jak najszybszym rozwiązaniem. Ta strona będzie aktualizowana, gdy dostępne będą nowe istotne informacje.

Na podstawie naszych dotychczasowych ustaleń przedstawiliśmy poniżej aktualny stan produktów i usług Zoom.

Produkty i usługi Zoom

Status

Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom

Klienci Zoom dla systemów Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (i wtyczki VDI) oraz klienci internetowi nie korzystają z podatnych wersji Log4j.

Obecnie użytkownicy nie muszą podejmować żadnych działań.

Backend produkcyjny Zoom (z wyłączeniem oprogramowania komercyjnego innych firm)*

Backend produkcyjny Zoom (z wyłączeniem oprogramowania komercyjnego innych firm) został zaktualizowany do wersji Log4j 2.16.0 jako wersji minimalnej lub zastosowano odpowiednie środki łagodzące w celu rozwiązania problemów zidentyfikowanych w CVE 2021-44228 i CVE-2021-45046. Firma Zoom przeprowadziła ocenę problemów w CVE-2021-44832 i CVE-2021-45105 i ustaliła, że nasz backend produkcyjny nie jest podatny ze względu na warunki wymagane do eksploatacji.

Oprogramowanie komercyjne innych firm w zakresie backendu produkcyjnego firmy Zoom

Jesteśmy w trakcie oceny sytuacji, którą przeprowadzamy we współpracy z naszymi zewnętrznymi dostawcami oprogramowania komercyjnego. Stosujemy i planujemy kontynuować stosowanie wszelkich aktualizacji, gdy tylko będą dostępne.
Zaktualizowano głównych dostawców oprogramowania innych firm dla Zoom lub zastosowano odpowiednie środki łagodzące.

Zoom dla rządu

Klienci Zoom dla systemów Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (i wtyczki VDI) oraz klienci internetowi nie korzystają z podatnych wersji Log4j.

Obecnie użytkownicy nie muszą podejmować żadnych działań.

Zoom Phone

Klienci Zoom Phone nie korzystają z podatnych wersji Log4j.

Obecnie użytkownicy nie muszą podejmować żadnych działań.

Zoom Rooms i Zoom for Home

Klienci Zoom Rooms i Zoom for Home nie korzystają z podatnych wersji Log4j.

Obecnie użytkownicy nie muszą podejmować żadnych działań.

Zoom Team Chat

Klienci Zoom Team Chat nie korzystają z podatnych wersji Log4j.

Obecnie użytkownicy nie muszą podejmować żadnych działań.

Zoom Marketplace

W zakresie naszego backendu zastosowaliśmy zalecane przez Apache środki łagodzące i zaktualizowaliśmy wszystkie zidentyfikowane do tej pory systemy do wersji Log4j 2.16.0 jako wersji minimalnej. Obecnie użytkownicy nie muszą podejmować żadnych działań.

API i SDK platformy dla deweloperów Zoom

Zestawy Zoom SDK nie korzystają z podatnych wersji Log4j.

Obecnie użytkownicy nie muszą podejmować żadnych działań.

Lokalne wdrożenie Zoom

Zoom Hybrid MMR, VRC, Meeting Connector, API Connector i Recording Connector nie korzystają z podatnych wersji Log4j.

Usługi świadczone przez strony trzecie

Jesteśmy w trakcie oceny sytuacji we współpracy z naszymi stronami trzecimi.

Partnerzy w zakresie urządzeń dla Zoom Phone i Zoom Rooms

Nasi partnerzy w zakresie urządzeń Zoom Phone i Zoom Rooms potwierdzili, że podatności nie mają wpływu na ich działanie.

Zoom Apps

Nasi zewnętrzni programiści Zoom Apps potwierdzili, że każda aplikacja Zoom korzystająca z podatnej wersji Log4j została zaktualizowana lub zostały zastosowane odpowiednie środki łagodzące.

Uwaga redaktora: Biuletyn został zredagowany 14 stycznia 2022 r. i zawiera najbardziej aktualne informacje na temat odpowiedzi firmy Zoom na luki w zabezpieczeniach w CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 i CVE-2021-44832.