Zusammenfassung
Zoom hat seine Produkte und Dienstleistungen analysiert, um die Apache Log4j-Schwachstellen zu identifizieren und einzuschränken, die in CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 und CVE-2021-44832 bekannt wurden. Zoom wird auch weiterhin anfällige Versionen von Log4j in Übereinstimmung mit den Empfehlungen von Apache einschränken und patchen. Wir planen, die identifizierten anfälligen Log4j-Instanzen mit der neuesten verfügbaren Version zu aktualisieren, sobald diese verfügbar ist und nachdem sie getestet wurde.
Die Behebung dieser Sicherheitslücken hat für Zoom höchste Priorität. Wir beobachten die Situation genau und arbeiten mit Hochdruck daran, sie so schnell wie möglich zu beheben. Diese Seite wird aktualisiert, sobald neue Informationen verfügbar sind.
Auf Grundlage von unseren bisherigen Erkenntnissen haben wir im Folgenden den aktuellen Status der Zoom-Produkte und -Dienste erläutert.
| Zoom-Produkte und -Dienste | Status |
|---|---|
| Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom | Zoom-Anwendungen für Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (einschließlich VDI-Plug-in) und Web-Clients verwenden die anfälligen Versionen von Log4j nicht. Zu diesem Zeitpunkt sind keine Maßnahmen seitens der Benutzer erforderlich. |
| Produktions-Backend von Zoom (ausgenommen kommerzielle Software von Drittanbietern)* | Das Produktions-Backend von Zoom (mit Ausnahme kommerzieller Software von Drittanbietern) wurde auf Log4j Version 2.16.0 als Mindestversion aktualisiert oder eingeschränkt, um die in CVE-2021-44228 und CVE-2021-45046 identifizierten Probleme zu beheben. Zoom hat die Probleme in CVE-2021-44832 und CVE-2021-45105 bewertet und festgestellt, dass unser Produktions-Backend aufgrund der für eine Ausnutzung erforderlichen Bedingungen nicht anfällig ist. |
| Kommerzielle Software von Drittanbietern im Produktions-Backend von Zoom | Wir sind gerade dabei, die Situation mit unseren Drittanbietern von kommerzieller Software zu bewerten. Wir haben alle Updates angewendet, sobald sie verfügbar waren, und werden dies auch weiterhin tun. Die wichtigsten Drittanbieter von Zoom wurden bereits aktualisiert oder eingeschränkt. |
| Zoom für Behörden | Zoom-Anwendungen für Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (einschließlich VDI-Plug-in) und Web-Clients verwenden die anfälligen Versionen von Log4j nicht. Zu diesem Zeitpunkt sind keine Maßnahmen seitens der Benutzer erforderlich. |
| Zoom Phone | Zoom Phone-Anwendungen verwenden die anfälligen Versionen von Log4j nicht. Zu diesem Zeitpunkt sind keine Maßnahmen seitens der Benutzer erforderlich. |
| Zoom Rooms und Zoom für Homeoffice | Zoom Rooms- und Zoom für Homeoffice-Anwendungen verwenden die anfälligen Versionen von Log4j nicht. Zu diesem Zeitpunkt sind keine Maßnahmen seitens der Benutzer erforderlich. |
| Zoom Team Chat | Zoom Team Chat-Anwendungen verwenden die anfälligen Versionen von Log4j nicht. Zu diesem Zeitpunkt sind keine Maßnahmen seitens der Benutzer erforderlich. |
| Zoom Marketplace | Für unser Backend haben wir die von Apache empfohlenen Risikominderungen angewendet und alle bisher identifizierten Systeme auf Log4j-Version 2.16.0 als Mindestversion aktualisiert. Zu diesem Zeitpunkt sind keine Maßnahmen seitens der Benutzer erforderlich. |
| APIs und SDKs der Zoom-Entwicklerplattform | Die Zoom SDKs verwenden die anfälligen Versionen von Log4j nicht. Zu diesem Zeitpunkt sind keine Maßnahmen seitens der Benutzer erforderlich. |
| Vor-Ort-Bereitstellung von Zoom | Zoom Hybrid MMR, VRC, Meeting-Connector, API-Connector und Aufzeichnungs-Connector verwenden die anfälligen Versionen von Log4j nicht. |
| Dienstleistungen von Drittanbietern | Wir sind dabei, die Situation mit unseren Drittanbietern zu bewerten. |
| Gerätepartner für Zoom Phone und Zoom Rooms | Unsere Gerätepartner für Zoom Phone und Zoom Rooms haben bestätigt, dass sie nicht betroffen sind. |
| Zoom Apps | Unsere externen Zoom Apps-Entwickler haben bestätigt, dass jede Zoom App, die eine anfällige Version von Log4j verwendet, aktualisiert oder eingeschränkt wurde. |
Anmerkung des Herausgebers: Diese Sicherheitsmeldung wurde am 14. Januar 2022 bearbeitet, damit sie die aktuellsten Informationen über die Reaktion von Zoom auf die Sicherheitsanfälligkeiten in CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 und CVE-2021-44832 enthält.