Ringkasan
Zoom telah menganalisis produk dan layanan kami untuk mengidentifikasi dan mengurangi risiko kerentanan Apache Log4j yang diungkapkan dalam CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, dan CVE-2021-44832. Zoom terus mengurangi risiko dan menambal versi Log4j yang rentan sesuai dengan rekomendasi Apache. Kami berencana untuk memperbarui instance Log4j yang teridentifikasi rentan dengan versi terbaru yang ada saat tersedia dan setelah pengujian.
Mengatasi kerentanan ini merupakan prioritas utama Zoom. Kami terus memantau situasi ini dan bekerja keras untuk menyelesaikannya sesegera mungkin. Halaman ini akan diperbarui saat informasi penting tersedia.
Berdasarkan temuan kami sejauh ini, kami telah merinci status terkini dari produk dan layanan Zoom di bawah ini.
| Produk dan Layanan Zoom | Status |
|---|---|
| Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom | Klien Zoom untuk Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (dan plug-in VDI), serta klien web tidak menggunakan versi Log4j yang rentan. Tidak ada tindakan yang diperlukan oleh pengguna saat ini. |
| Backend Produksi Zoom (tidak termasuk Perangkat Lunak Komersial Pihak Ketiga)* | Backend produksi Zoom (tidak termasuk perangkat lunak komersial pihak ketiga) telah diperbarui ke Log4j versi 2.16.0 sebagai versi minimum atau dimitigasi untuk mengatasi masalah yang diidentifikasi dalam CVE 2021-44228 dan CVE-2021-45046. Zoom melakukan penilaian terhadap masalah dalam CVE-2021-44832 dan CVE-2021-45105 serta menentukan bahwa backend produksi kami tidak rentan karena kondisi yang diperlukan untuk eksploitasi. |
| Perangkat Lunak Komersial Pihak Ketiga Backend Produksi Zoom | Kami sedang dalam proses menilai situasi dengan vendor perangkat lunak komersial pihak ketiga kami. Kami telah dan berencana untuk terus menerapkan pembaruan apa pun saat tersedia. Vendor perangkat lunak pihak ketiga utama Zoom telah diperbarui atau dimitigasi. |
| Zoom untuk Pemerintahan | Klien Zoom untuk Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (dan plug-in VDI), serta klien web tidak menggunakan versi Log4j yang rentan. Tidak ada tindakan yang diperlukan oleh pengguna saat ini. |
| Zoom Phone | Klien Zoom Phone tidak menggunakan versi Log4j yang rentan. Tidak ada tindakan yang diperlukan oleh pengguna saat ini. |
| Zoom Rooms dan Zoom for Home | Klien Zoom Rooms dan Zoom for Home tidak menggunakan versi Log4j yang rentan. Tidak ada tindakan yang diperlukan oleh pengguna saat ini. |
| Zoom Team Chat | Klien Zoom Team Chat tidak menggunakan versi Log4j yang rentan. Tidak ada tindakan yang diperlukan oleh pengguna saat ini. |
| Zoom Marketplace | Untuk backend kami, kami telah menerapkan mitigasi yang direkomendasikan Apache dan memperbarui sistem yang teridentifikasi hingga saat ini ke Log4j versi 2.16.0 sebagai versi minimum. Tidak ada tindakan yang diperlukan oleh pengguna saat ini. |
| API & SDK Platform Pengembang Zoom | Zoom SDK tidak menggunakan versi Log4j yang rentan. Tidak ada tindakan yang diperlukan oleh pengguna saat ini. |
| Penyebaran Lokal Zoom | Zoom Hybrid MMR, VRC, Konektor Rapat, Konektor API, dan Konektor Rekaman tidak menggunakan versi Log4j yang rentan. |
| Layanan yang Disediakan oleh Pihak Ketiga | Kami sedang dalam proses menilai situasi dengan pihak ketiga. |
| Mitra Perangkat untuk Zoom Phone dan Zoom Rooms | Mitra perangkat kami untuk Zoom Phone dan Zoom Rooms telah mengonfirmasi bahwa mereka tidak terpengaruh. |
| Zoom Apps | Pengembang Zoom Apps pihak ketiga kami telah mengonfirmasi bahwa Aplikasi Zoom yang menggunakan versi Log4j yang rentan telah diperbarui atau dimitigasi. |
Catatan editor: Buletin ini diedit pada 14 Januari 2022 untuk menyertakan informasi terbaru tentang respons Zoom terhadap kerentanan CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, dan CVE-2021-44832.