Synthèse
Zoom a analysé ses produits et services afin d’identifier et d’atténuer les vulnérabilités d’Apache Log4j divulguées dans les documents CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, et CVE-2021-44832. Zoom continue d’atténuer et de corriger les vulnérabilités des versions de Log4j conformément aux recommandations d’Apache. Nous prévoyons de mettre à jour les instances de Log4j vulnérables identifiées avec la dernière version disponible dès qu’elle sera publiée et après avoir réalisé des tests.
Remédier à ces vulnérabilités est une priorité absolue pour Zoom. Nous suivons de près la situation et travaillons avec diligence pour la résoudre dès que possible. Cette page sera mise à jour dès que des informations matérielles seront disponibles.
Sur la base de nos conclusions à ce jour, nous avons indiqué ci-dessous le statut actuel des produits et services Zoom.
| Produits et services Zoom | Statut |
|---|---|
| Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom | Les clients Zoom pour Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (y compris le module d’extension), et les clients Web n’utilisent pas les versions vulnérables de Log4j. Aucune action n’est actuellement requise de la part des utilisateurs. |
| Back-end de production de Zoom (à l’exclusion des logiciels commerciaux tiers)* | Désormais, la version minimale ou atténuée de Log4j est la version 2.16.0 pour le back-end de production de Zoom (à l’exclusion des logiciels commerciaux tiers), afin de résoudre les problèmes identifiés dans CVE 2021-44228 et CVE-2021-45046. Zoom a évalué les problèmes identifiés dans CVE-2021-44832 et CVE-2021-45105 et conclu que notre back-end de production n’est pas vulnérable en raison des conditions requises pour l’exploitation. |
| Logiciels commerciaux tiers du back-end de production de Zoom | Nous sommes en train d’évaluer la situation avec nos fournisseurs de logiciels commerciaux tiers. Nous avons appliqué des mises à jour, et prévoyons d’appliquer d’autres mises à jour dès qu’elles seront disponibles. Les principaux fournisseurs de logiciels tiers de Zoom ont mis à jour ou atténué les vulnérabilités. |
| Zoom pour les gouvernements | Les clients Zoom pour Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (y compris le module d’extension), et les clients Web n’utilisent pas les versions vulnérables de Log4j. Aucune action n’est actuellement requise de la part des utilisateurs. |
| Zoom Phone | Les clients Zoom Phone n’utilisent pas les versions vulnérables de Log4j. Aucune action n’est actuellement requise de la part des utilisateurs. |
| Zoom Rooms et Zoom pour la maison | Les clients Zoom Rooms et Zoom pour la maison n’utilisent pas les versions vulnérables de Log4j. Aucune action n’est actuellement requise de la part des utilisateurs. |
| Zoom Team Chat | Les clients Zoom Team Chat n’utilisent pas les versions vulnérables de Log4j. Aucune action n’est actuellement requise de la part des utilisateurs. |
| Zoom Marketplace | Pour notre back-end, nous avons appliqué les mesures recommandées par Apache pour atténuer les vulnérabilités et mis à jour tous les systèmes identifiés à ce jour de façon à imposer la version 2.16.0 de Log4j comme version minimale. Aucune action n’est actuellement requise de la part des utilisateurs. |
| API et SDK de la plateforme des développeurs Zoom | Les SDK de Zoom n’utilisent pas les versions vulnérables de Log4j. Aucune action n’est actuellement requise de la part des utilisateurs. |
| Déploiement de Zoom sur site | Les MMR hybride, CSV, connecteurs de réunion, connecteurs d’API et connecteurs d’enregistrement de Zoom n’utilisent pas les versions vulnérables de Log4j. |
| Services fournis par des tiers | Nous sommes en train d’évaluer la situation avec les tierces parties concernées. |
| Partenaires d’appareils pour Zoom Phone et Zoom Rooms | Nos partenaires d’appareils pour Zoom Phone et Zoom Rooms ont confirmé qu’ils n’étaient pas affectés. |
| Zoom Apps | Les développeurs ont confirmé que les versions vulnérables de Log4j utilisées par les applications Zoom Apps tierces ont été mises à jour ou atténuées. |
Note de la rédaction : ce bulletin a été modifié le 14 janvier 2022 afin d’inclure les informations les plus récentes concernant les réponses apportées par Zoom par rapport aux vulnérabilités signalées dans CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 et CVE-2021-44832.