Apache Log4j Açıklamaları İçin Zoom Güvenlik Bülteni
Son güncelleme: 14 Ocak 2022 at 15:55 PST
Özet
Zoom; CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, ve CVE-2021-44832'de açıklanan Apache Log4j güvenlik açıklarını tespit etmek ve bunlardan doğan riski azaltmak için ürünlerini ve hizmetlerini analiz etmektedir. Zoom, güvenlik açığı bulunan Log4j sürümlerinde Apache'nin önerileri doğrultusunda riski azaltmaya ve yama uygulamaya devam etmektedir. Güvenlik açığı bulunan Log4j örneklerini kullanıma sunulup testlerden geçmiş en son sürümle güncellemeyi planlıyoruz.
Bu güvenlik açıklarınının giderilmesi Zoom için büyük bir önceliktir. Durumu yakından izliyoruz ve mümkün olan en kısa sürede çözmek için özenle çalışıyoruz. Önemli bilgiler edinildikçe bu sayfa güncellenecektir.
Bugüne kadarki bulgularımıza dayanarak, Zoom ürün ve hizmetlerinin mevcut durumunu aşağıda özetledik.
Zoom Ürün ve Hizmetleri
Durum
Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom
Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (ve VDI eklentisi) ve web istemcileri için Zoom istemcileri, Log4j'nin güvenlik açığı bulunan sürümlerini kullanmamaktadır.
Kullanıcıların şu anda herhangi bir şey yapmasına gerek yoktur.
Zoom'un Üretim Arka Ucu (Üçüncü Taraf Ticari Yazılımlar Hariç)*
Zoom'un üretim arka ucu (üçüncü taraf ticari yazılımlar hariç), minimum sürüm olarak Log4j sürüm 2.16.0'a güncellendi veya CVE 2021-44228 ve CVE-2021-45046'da belirlenen sorunlardan doğan risk azaltıldı. Zoom, CVE-2021-44832 ve CVE-2021-45105'teki sorunların bir değerlendirmesini yaptı ve kötü amaçla yararlanmak için gereken koşullar göz önüne alındığında üretim arka ucunda güvenlik açığı olmadığını belirledi.
Zoom'un Üretim Arka Ucu Üçüncü Taraf Ticari Yazılımlar
Üçüncü taraf ticari yazılım satıcılarımızla durumu değerlendirme sürecindeyiz. Kullanıma sunulan güncellemeleri uyguladık ve kullanıma sunuldukça uygulamaya devam etmeyi planlıyoruz.
Zoom'un temel üçüncü taraf yazılım satıcıları güncellendi veya riskleri azaltıldı.
Devletler için Zoom
Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (ve VDI eklentisi) ve web istemcileri için Zoom istemcileri, Log4j'nin güvenlik açığı bulunan sürümlerini kullanmamaktadır.
Kullanıcıların şu anda herhangi bir şey yapmasına gerek yoktur.
Zoom Phone
Zoom Phone istemcileri, Log4j'nin güvenlik açığı bulunan sürümlerini kullanmamaktadır.
Kullanıcıların şu anda herhangi bir şey yapmasına gerek yoktur.
Zoom Rooms ve Zoom for Home
Zoom Rooms ve Zoom for Home istemcileri, Log4j'nin güvenlik açığı bulunan sürümlerini kullanmamaktadır.
Kullanıcıların şu anda herhangi bir şey yapmasına gerek yoktur.
Zoom Team Chat
Zoom Team Chat istemcileri, Log4j'nin güvenlik açığı bulunan sürümlerini kullanmamaktadır.
Kullanıcıların şu anda herhangi bir şey yapmasına gerek yoktur.
Zoom Marketplace
Arka ucumuz için Apache'nin önerdiği risk azaltma önlemlerini uyguladık ve bugüne kadar belirlenen tüm sistemleri, minimum sürüm Log4j sürüm 2.16.0 olacak şekilde güncelledik. Kullanıcıların şu anda herhangi bir şey yapmasına gerek yoktur.
Zoom Geliştirici Platformu API'leri ve SDK'ları
Zoom SDKs, Log4j'nin güvenlik açığı bulunan sürümlerini kullanmamaktadır.
Kullanıcıların şu anda herhangi bir şey yapmasına gerek yoktur.
Zoom Şirket İçi Dağıtımı
Zoom Hybrid MMR, VRC, Toplantı Bağlayıcısı, API Bağlayıcısı ve Kayıt Bağlayıcısı, Log4j'nin güvenlik açığı bulunan sürümlerini kullanmamaktadır.
Üçüncü Taraflarca Sağlanan Hizmetler
Çalıştığımız üçüncü taraf şirketlerle durumu değerlendirme sürecindeyiz.
Zoom Phone ve Zoom Rooms İçin Cihaz Ortakları
Zoom Phone ve Zoom Rooms için cihaz ortaklarımız bu durumdan etkilenmediklerini doğruladı.
Zoom Apps
Üçüncü taraf Zoom Apps geliştiricilerimiz, Log4j'nin güvenlik açığı bulunan bir sürümünü kullanan tüm Zoom Apps'in güncellendiğini veya risklerin azaltıldığını doğruladı.
Editörün notu: Bu bülten, Zoom'un CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 ve CVE-2021-44832 güvenlik açıklarına verdiği yanıtla ilgili en güncel bilgileri içerecek şekilde 14 Ocak 2022'de düzenlenmiştir.