Resumen
Zoom ha estado analizando nuestros productos y servicios para identificar y mitigar las vulnerabilidades de Apache Log4j divulgadas en CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 y CVE-2021-44832. Zoom continúa mitigando y parcheando las versiones vulnerables de Log4j de acuerdo con las recomendaciones de Apache. Tenemos previsto actualizar las instancias de Log4j vulnerables identificadas con la última versión disponible a medida que estén listas y tras la realización de pruebas.
Solucionar estas vulnerabilidades es una de las principales prioridades de Zoom. Estamos supervisando de cerca la situación y trabajando diligentemente para resolverla lo antes posible. Esta página se actualizará a medida que dispongamos de información relevante.
Sobre la base de nuestros hallazgos hasta la fecha, hemos resumido a continuación el estado actual de los productos y servicios de Zoom.
| Productos y servicios de Zoom | Estado |
|---|---|
| Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom | Los clientes de Zoom para Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (y el complemento VDI) y los clientes web no utilizan las versiones vulnerables de Log4j. No se requiere ninguna acción por parte de los usuarios en este momento. |
| Backend de producción de Zoom (excluido el software comercial de terceros)* | El backend de producción de Zoom (excluido el software comercial de terceros) se ha actualizado a la versión 2.16.0 de Log4j como versión mínima o mitigada para solucionar los problemas identificados en CVE 2021-44228 y CVE-2021-45046. Zoom realizó una evaluación de los problemas en CVE-2021-44832 y CVE-2021-45105 y determinó que nuestro backend de producción no es vulnerable debido a las condiciones requeridas para su explotación. |
| Software comercial de terceros del backend de producción de Zoom | Estamos evaluando la situación con nuestros proveedores de software comercial de terceros. Hemos aplicado y tenemos previsto seguir aplicando las actualizaciones a medida que estén disponibles. Los principales proveedores de software de terceros de Zoom se han actualizado o mitigado. |
| Zoom para el gobierno | Los clientes de Zoom para Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (y el complemento VDI) y los clientes web no utilizan las versiones vulnerables de Log4j. No se requiere ninguna acción por parte de los usuarios en este momento. |
| Zoom Phone | Los clientes de Zoom Phone no utilizan las versiones vulnerables de Log4j. No se requiere ninguna acción por parte de los usuarios en este momento. |
| Zoom Rooms y Zoom para el hogar | Los clientes de Zoom Rooms y Zoom para el hogar no utilizan las versiones vulnerables de Log4j. No se requiere ninguna acción por parte de los usuarios en este momento. |
| Zoom Team Chat | Los clientes de Zoom Team Chat no utilizan las versiones vulnerables de Log4j. No se requiere ninguna acción por parte de los usuarios en este momento. |
| Zoom Marketplace | Para nuestro backend, hemos aplicado las mitigaciones recomendadas de Apache y actualizado todos los sistemas identificados hasta la fecha a la versión 2.16.0 de Log4j como versión mínima. No se requiere ninguna acción por parte de los usuarios en este momento. |
| API y SDK de la plataforma para desarrolladores de Zoom | Los SDK de Zoom no utilizan las versiones vulnerables de Log4j. No se requiere ninguna acción por parte de los usuarios en este momento. |
| Implementación local de Zoom | El MMR híbrido de Zoom, el VRC, el Conector de reunión, el Conector de API y el Conector de grabación no utilizan las versiones vulnerables de Log4j. |
| Servicios prestados por terceros | Estamos evaluando la situación con nuestros terceros. |
| Socios de dispositivos para Zoom Phone y Zoom Rooms | Nuestros socios de dispositivos para Zoom Phone y Zoom Rooms han confirmado que no están afectados. |
| Zoom Apps | Nuestros desarrolladores de Zoom Apps de terceros han confirmado que toda Zoom App que utilice una versión vulnerable de Log4j se ha actualizado o mitigado. |
Nota del editor: Este boletín se editó el 14 de enero de 2022 para incluir la información más actualizada sobre la respuesta de Zoom a las vulnerabilidades de CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 y CVE-2021-44832.