Bản tin bảo mật Zoom về thông tin tiết lộ liên quan đến Apache Log4j
Cập nhật lần cuối: ngày 14 tháng 1 năm 2022 lúc 3:55 chiều theo giờ PST
Tóm tắt
Zoom đã và đang phân tích các sản phẩm và dịch vụ của mình để xác định và giảm thiểu các lỗ hổng bảo mật Apache Log4j được tiết lộ trong CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 và CVE-2021-44832. Zoom tiếp tục giảm thiểu rủi ro và vá các phiên bản dễ bị tấn công của Log4j theo các khuyến nghị của Apache. Chúng tôi dự định cập nhật các phiên bản dễ bị tấn công đã được xác định của Log4j bằng phiên bản mới nhất hiện có khi phiên bản này sẵn sàng sau khi thử nghiệm.
Giải quyết các lỗ hổng bảo mật này là ưu tiên hàng đầu của Zoom. Chúng tôi đang giám sát chặt chẽ tình hình và nỗ lực hết mình để giải quyết vấn đề trong thời gian sớm nhất. Trang này sẽ được cập nhật khi có thông tin quan trọng mới.
Dựa trên những phát hiện tính đến nay, chúng tôi đã phác thảo được trạng thái hiện tại của các sản phẩm và dịch vụ của Zoom.
Sản phẩm và dịch vụ của Zoom
Trạng thái
Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom
Zoom Client cho Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (và plug-in VDI) và Web Client không sử dụng các phiên bản dễ bị tấn công của Log4j.
Người dùng không cần thực hiện hành động nào tại thời điểm này.
Backend sản xuất của Zoom (không bao gồm phần mềm thương mại của bên thứ ba) *
Backend sản xuất của Zoom (không bao gồm phần mềm thương mại của bên thứ ba) đã được cập nhật lên phiên bản tối thiểu là Log4j 2.16.0 hoặc được giảm thiểu rủi ro để giải quyết các vấn đề được xác định trong CVE 2021-44228 và CVE-2021-45046. Zoom đã tiến hành đánh giá các vấn đề trong CVE-2021-44832 và CVE-2021-45105 và xác định backend sản xuất của mình không dễ bị tấn công do các điều kiện bắt buộc để khai thác lỗ hổng.
Phần mềm thương mại bên thứ ba cho backend sản xuất của Zoom
Chúng tôi đang trong quá trình đánh giá tình hình với các nhà cung cấp phần mềm thương mại bên thứ ba của mình. Chúng tôi đã và có kế hoạch tiếp tục áp dụng bất kỳ bản cập nhật nào khi chúng có sẵn.
Các nhà cung cấp phần mềm bên thứ ba cốt lõi của Zoom đã được cập nhật hoặc giảm thiểu rủi ro.
Zoom dành cho chính phủ
Zoom Client cho Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (và plug-in VDI) và Web Client không sử dụng các phiên bản dễ bị tấn công của Log4j.
Người dùng không cần thực hiện hành động nào tại thời điểm này.
Zoom Phone
Zoom Phone Client không sử dụng các phiên bản dễ bị tấn công của Log4j.
Người dùng không cần thực hiện hành động nào tại thời điểm này.
Zoom Rooms và Zoom for Home
Zoom Rooms và Zoom for Home Client không sử dụng các phiên bản dễ bị tấn công của Log4j.
Người dùng không cần thực hiện hành động nào tại thời điểm này.
Zoom Team Chat
Khách hàng của Zoom Team Chat không sử dụng các phiên bản dễ bị tấn công của Log4j.
Người dùng không cần thực hiện hành động nào tại thời điểm này.
Zoom Marketplace
Đối với backend của mình, chúng tôi đã áp dụng các biện pháp giảm thiểu được khuyến nghị của Apache và cập nhật bất kỳ hệ thống nào được xác định cho đến nay lên phiên bản tối thiểu là Log4j 2.16.0. Người dùng không cần thực hiện hành động nào tại thời điểm này.
API và SDK của Zoom Developer Platform
Zoom SDKs không sử dụng các phiên bản dễ bị tấn công của Log4j.
Người dùng không cần thực hiện hành động nào tại thời điểm này.
Triển khai Zoom tại chỗ
Bộ định tuyến đa phương tiện kết hợp, Trình kết nối phòng ảo, Trình kết nối cuộc họp, Trình kết nối giao diện lập trình ứng dụng (API) và Trình kết nối ghi âm Zoom không sử dụng các phiên bản dễ bị tấn công của Log4j.
Dịch vụ do bên thứ ba cung cấp
Chúng tôi đang trong quá trình đánh giá tình hình với các bên thứ ba của mình.
Đối tác thiết bị cho Zoom Phone và Zoom Rooms
Các đối tác thiết bị cho Zoom Phone và Zoom Rooms của chúng tôi đã xác nhận rằng họ không bị ảnh hưởng.
Zoom Apps
Các nhà phát triển Zoom Apps bên thứ ba của chúng tôi đã xác nhận rằng mọi Zoom App sử dụng phiên bản dễ bị tấn công của Log4j đã được cập nhật hoặc giảm thiểu rủi ro.