Сводки по безопасности Zoom относительно раскрываемых сведений об Apache Log4j
Последнее обновление: 14 января 2022 г., 15:55 по североамериканскому тихоокеанскому стандартному времени
Общие сведения
Zoom анализирует свои продукты и услуги, чтобы определить и уменьшить уязвимости Apache Log4j, сведения о которых раскрыты в CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 и CVE-2021-44832. Zoom продолжает устранять проблемы и исправлять уязвимые версии Log4j в соответствии с рекомендациями Apache. Мы планируем обновить выявленные уязвимые экземпляры Log4j до последних доступных версий, как только эти версии появятся и пройдут тестирование.
Устранение этих уязвимостей — главный приоритет компании Zoom. Мы внимательно контролируем ситуацию и усердно работаем над ее скорейшим урегулированием. Существенная информация на этой странице будет обновляться по мере поступления.
Ниже представлено краткое описание текущего статуса всех продуктов и услуг Zoom на основании полученных на текущий момент результатов.
Продукты и услуги Zoom
Статус
Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom
Zoom Desktop Client и Zoom Mobile Apps для Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (и плагина VDI), а также Web Client не используют уязвимые версии Log4j.
В настоящее время пользователям не требуется выполнять никаких действий.
Программно-аппаратная часть продуктов Zoom (за исключением стороннего коммерческого программного обеспечения) *
Log4j программно-аппаратной части продуктов Zoom (за исключением стороннего коммерческого программного обеспечения) обновлена до версии 2.16.0, которая является минимальной версией, или в ней были устранены проблемы, описанные в CVE 2021-44228 и CVE-2021-45046. Компания Zoom провела оценку проблем, описанных в CVE-2021-44832 и CVE-2021-45105, и сделала вывод о том, что программно-аппаратная часть наших продуктов не является уязвимой ввиду условий, требуемых для эксплуатации.
Стороннее коммерческое программное обеспечение программно-аппаратной части продуктов Zoom
В настоящее время мы занимаемся оценкой ситуации вместе с поставщиками стороннего коммерческого программного обеспечения. Мы продолжаем и планируем продолжать применять обновления по мере их появления.
Основное стороннее программное обеспечение от поставщиков Zoom уже обновлено, или его проблемы уже устранены.
Zoom для государственных учреждений
Zoom Desktop Client и Zoom Mobile Apps для Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (и плагина VDI), а также Web Client не используют уязвимые версии Log4j.
В настоящее время пользователям не требуется выполнять никаких действий.
Zoom Phone
Клиенты Zoom Phone не используют уязвимые версии Log4j.
В настоящее время пользователям не требуется выполнять никаких действий.
Zoom Rooms и Zoom for Home
Клиенты Zoom Rooms и Zoom for Home не используют уязвимые версии Log4j.
В настоящее время пользователям не требуется выполнять никаких действий.
Zoom Team Chat
Клиенты Zoom Team Chat не используют уязвимые версии Log4j.
В настоящее время пользователям не требуется выполнять никаких действий.
Zoom Marketplace
Что касается нашей программно-аппаратной части, мы воспользовались рекомендациями Apache относительно устранения проблем и обновили для всех систем с выявленными на текущий момент ошибками Log4j до версии 2.16.0, которая является минимальной версией. В настоящее время пользователям не требуется выполнять никаких действий.
API и SDK для платформы разработчиков Zoom
Zoom SDKs не используют уязвимые версии Log4j.
В настоящее время пользователям не требуется выполнять никаких действий.
Локальное развертывание Zoom
Hybrid MMR, VRC, коннектор конференций, коннектор API и коннектор записи Zoom не используют уязвимые версии Log4j.
Услуги, предоставляемые третьими сторонами
В настоящее время мы занимаемся оценкой ситуации вместе с нашими третьими сторонами.
Партнеры по устройствам для Zoom Phone и Zoom Rooms
Наши партнеры по устройствам для Zoom Phone и Zoom Rooms подтвердили, что проблемы их не затронули.
Zoom Apps
Наши сторонние разработчики Zoom Apps подтвердили, что любое приложение Zoom, использующее уязвимую версию Log4j, было обновлено или его проблемы были устранены.
Примечание редактора. В эти сводки 14 января 2022 г. были внесены изменения: добавлена наиболее актуальная информация относительно реагирования компании Zoom на уязвимости CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 и CVE-2021-44832.