Bản tin bảo mật Zoom về thông tin tiết lộ liên quan đến Apache Log4j

Sản phẩm và dịch vụ của Zoom

Trạng thái

Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom

Zoom Client cho Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (và plug-in VDI) và Web Client không sử dụng các phiên bản dễ bị tấn công của Log4j.

Người dùng không cần thực hiện hành động nào tại thời điểm này.

Backend sản xuất của Zoom (không bao gồm phần mềm thương mại của bên thứ ba) *

Backend sản xuất của Zoom (không bao gồm phần mềm thương mại của bên thứ ba) đã được cập nhật lên phiên bản tối thiểu là Log4j 2.16.0 hoặc được giảm thiểu rủi ro để giải quyết các vấn đề được xác định trong CVE 2021-44228 và CVE-2021-45046. Zoom đã tiến hành đánh giá các vấn đề trong CVE-2021-44832 và CVE-2021-45105 và xác định backend sản xuất của mình không dễ bị tấn công do các điều kiện bắt buộc để khai thác lỗ hổng.

Phần mềm thương mại bên thứ ba cho backend sản xuất của Zoom

Chúng tôi đang trong quá trình đánh giá tình hình với các nhà cung cấp phần mềm thương mại bên thứ ba của mình. Chúng tôi đã và có kế hoạch tiếp tục áp dụng bất kỳ bản cập nhật nào khi chúng có sẵn.
Các nhà cung cấp phần mềm bên thứ ba cốt lõi của Zoom đã được cập nhật hoặc giảm thiểu rủi ro.

Zoom dành cho chính phủ

Zoom Client cho Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (và plug-in VDI) và Web Client không sử dụng các phiên bản dễ bị tấn công của Log4j.

Người dùng không cần thực hiện hành động nào tại thời điểm này.

Zoom Phone

Zoom Phone Client không sử dụng các phiên bản dễ bị tấn công của Log4j.

Người dùng không cần thực hiện hành động nào tại thời điểm này.

Zoom Rooms và Zoom for Home

Zoom Rooms và Zoom for Home Client không sử dụng các phiên bản dễ bị tấn công của Log4j.

Người dùng không cần thực hiện hành động nào tại thời điểm này.

Zoom Team Chat

Khách hàng của Zoom Team Chat không sử dụng các phiên bản dễ bị tấn công của Log4j.

Người dùng không cần thực hiện hành động nào tại thời điểm này.

Zoom Marketplace

Đối với backend của mình, chúng tôi đã áp dụng các biện pháp giảm thiểu được khuyến nghị của Apache và cập nhật bất kỳ hệ thống nào được xác định cho đến nay lên phiên bản tối thiểu là Log4j 2.16.0. Người dùng không cần thực hiện hành động nào tại thời điểm này.

API và SDK của Zoom Developer Platform

Zoom SDKs không sử dụng các phiên bản dễ bị tấn công của Log4j.

Người dùng không cần thực hiện hành động nào tại thời điểm này.

Triển khai Zoom tại chỗ

Bộ định tuyến đa phương tiện kết hợp, Trình kết nối phòng ảo, Trình kết nối cuộc họp, Trình kết nối giao diện lập trình ứng dụng (API) và Trình kết nối ghi âm Zoom không sử dụng các phiên bản dễ bị tấn công của Log4j.

Dịch vụ do bên thứ ba cung cấp

Chúng tôi đang trong quá trình đánh giá tình hình với các bên thứ ba của mình.

Đối tác thiết bị cho Zoom Phone và Zoom Rooms

Các đối tác thiết bị cho Zoom Phone và Zoom Rooms của chúng tôi đã xác nhận rằng họ không bị ảnh hưởng.

Zoom Apps

Các nhà phát triển Zoom Apps bên thứ ba của chúng tôi đã xác nhận rằng mọi Zoom App sử dụng phiên bản dễ bị tấn công của Log4j đã được cập nhật hoặc giảm thiểu rủi ro.