Boletim de Segurança do Zoom para informações sobre o Apache Log4j
Última atualização: 14 de janeiro de 2022, às 15:55 PST
Resumo
O Zoom analisou nossos produtos e serviços para identificar e mitigar as vulnerabilidades do Apache Log4j divulgadas em CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 e CVE-2021-44832. O Zoom continua a mitigar e corrigir versões vulneráveis do Log4J segundo as recomendações da Apache. Planejamos atualizar instâncias vulneráveis do Log4j que venham a ser identificadas com a versão disponível mais recente, assim que disponibilizada e depois de testada.
Neutralizar essas vulnerabilidades é a prioridade do Zoom. Monitoramos a situação de perto e trabalhamos rigorosamente para resolvê-la o quanto antes. Esta página será atualizada assim que disponibilizadas informações pertinentes.
Com base nas descobertas feitas até o momento, esboçamos abaixo a situação atual dos produtos e dos serviços Zoom.
Produtos e serviços Zoom
Status
Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom
Os Zoom desktop clients e os Zoom Mobile Apps para Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (e plug-in VDI), bem como web clients, não usam as versões vulneráveis do Log4j.
Desta vez, os usuários não precisam fazer nada.
Back-end de produção do Zoom (excluindo o software comercial de terceiro)*
O back-end de produção do Zoom (excluindo o software comercial de terceiro) foi atualizado para a versão 2.16.0 do Log4j como versão mínima ou mitigada para neutralizar os problemas identificados em CVE 2021-44228 e CVE-2021-45046. O Zoom conduziu uma avaliação dos problemas apresentados em CVE-2021-44832 e CVE-2021-45105, tendo determinado que nosso back-end de produção não é vulnerável, haja vista as condições necessárias para exploração.
Software comercial de terceiro do back-end de produção do Zoom
Estamos em processo de avaliação da situação de nossos fornecedores de software comercial de terceiro. Aplicamos e planejamos continuar aplicando eventuais atualizações assim que disponibilizadas.
Os principais fornecedores de software de terceiro do Zoom foram atualizados ou mitigados.
Zoom para o governo
Os Zoom desktop clients e os Zoom Mobile Apps para Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (e plug-in VDI), bem como web clients, não usam as versões vulneráveis do Log4j.
Desta vez, os usuários não precisam fazer nada.
Zoom Phone
Os clients do Zoom Phone não usam as versões vulneráveis do Log4j.
Desta vez, os usuários não precisam fazer nada.
Zoom Rooms e Zoom for Home
Os clients do Zoom Rooms e Zoom for Home não usam as versões vulneráveis do Log4j.
Desta vez, os usuários não precisam fazer nada.
Zoom Team Chat
Os clients do Zoom Team Chat não usam as versões vulneráveis do Log4j.
Desta vez, os usuários não precisam fazer nada.
Zoom Marketplace
Em nosso back-end, aplicamos as mitigações recomendadas da Apache e atualizamos os sistemas identificados até agora para a versão 2.16.0 do Log4j como versão mínima. Desta vez, os usuários não precisam fazer nada.
APIs e SDKs da Zoom Developer Platform
Os Zoom SDKs não usam as versões vulneráveis do Log4j.
Desta vez, os usuários não precisam fazer nada.
Implantação do Zoom no local
O Zoom Hybrid MMR, VRC, Conector de reunião, Conector de API e Conector de gravação não usam as versões vulneráveis do Log4j.
Serviços prestados por terceiros
Estamos em processo de avaliar a situação com os terceiros.
Parceiros de dispositivos para Zoom Phone e Zoom Rooms
Nossos parceiros de dispositivos para Zoom Phone e Zoom Rooms confirmaram que não foram afetados.
Zoom Apps
Nossos desenvolvedores terceiros de Zoom Apps confirmaram que todo Zoom App que usava alguma versão vulnerável do Log4j foi atualizado ou mitigado.
Nota do editor: Este boletim foi editado em 14 de janeiro de 2022 para incluir as informações mais atuais sobre a resposta do Zoom às vulnerabilidades CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 e CVE-2021-44832.