概要
Zoom は CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832 で開示された Apache Log4j の脆弱性を特定し緩和するために、弊社のプロダクトとサービスを分析してきました。Zoom は今後も Apache の推奨事項に従い、脆弱な Log4j バージョンの緩和とパッチ付与を続行します。特定済みの脆弱な Log4j インスタンスは、利用可能になり次第テストを終えてから、最新の利用可能なバージョンで更新していきます。
こうした脆弱性への対処は、Zoom の最優先事項です。弊社は状況を注意深くモニタリングしており、一刻も早く脆弱性を解決するよう真摯に取り組んでいます。このページは、重要な情報を提供可能になり次第、更新します。
Zoom のこれまでの調査結果に基づき、以下に Zoom のプロダクトとサービスの現状を簡単にまとめました。
| Zoom のプロダクトとサービス | 現状 |
|---|---|
| Zoom Meetings、Zoom Events、Zoom Webinars、OnZoom | Windows、Mac、Linux、iOS、Android、BlackBerry、および VDI(および VDI プラグイン)向け Zoom クライアント、ならびに Zoom ウェブ クライアントは、脆弱な Log4j バージョンを使用していません。 当面、ユーザーが取るべきアクションはありません。 |
| Zoom の本番バックエンド(サードパーティの商用ソフトウェア以外)* | Zoom の本番バックエンド(サードパーティの商用ソフトウェア以外)は、Log4j の必要最低バージョンであるバージョン 2.16.0 以降への更新、または CVE 2021-44228 と CVE-2021-45046 で特定された問題に対処するための緩和が完了しています。Zoom は CVE-2021-44832 と CVE-2021-45105 の問題を評価し、Zoom の本番バックエンドには、悪用に必要な条件による脆弱性がないと判断しました。 |
| Zoom の本番バックエンドで使用されているサードパーティの商用ソフトウェア | 弊社はサードパーティの商用ソフトウェア ベンダーの状況を目下評価中です。Zoom はあらゆる更新を備えており、今後もこれまでどおり、更新が利用可能になり次第、適用していきます。 Zoom の主要なサードパーティ ソフトウェア ベンダーは、更新または緩和が済んでいます。 |
| 行政機関向け Zoom | Windows、Mac、Linux、iOS、Android、BlackBerry、および VDI(および VDI プラグイン)向け Zoom クライアント、ならびに Zoom ウェブ クライアントは、脆弱な Log4j バージョンを使用していません。 当面、ユーザーが取るべきアクションはありません。 |
| Zoom Phone | Zoom Phone クライアントは、脆弱な Log4j バージョンを使用していません。 当面、ユーザーが取るべきアクションはありません。 |
| Zoom Rooms と Zoom for Home | Zoom Rooms および Zoom for Home クライアントは、脆弱な Log4j バージョンを使用していません。 当面、ユーザーが取るべきアクションはありません。 |
| Zoom Team Chat | Zoom Team Chat クライアントは、脆弱な Log4j バージョンを使用していません。 当面、ユーザーが取るべきアクションはありません。 |
| Zoom Marketplace | Zoom のバックエンドでは、Apache の推奨する緩和策を適用し、これまでに特定したシステムすべてを、必要最低バージョンである Log4j バージョン 2.16.0 以降に更新しました。当面、ユーザーが取るべきアクションはありません。 |
| Zoom デベロッパー向けプラットフォーム API および SDK | Zoom SDK は、脆弱な Log4j バージョンを使用していません。 当面、ユーザーが取るべきアクションはありません。 |
| Zoom オンプレミス展開 | Zoom ハイブリッド MMR、VRC、ミーティング コネクタ、API コネクタ、レコーディング コネクタは、脆弱な Log4j バージョンを使用していません。 |
| サードパーティが提供するサービス | サードパーティと連携し、状況を評価しているところです。 |
| Zoom Phone および Zoom Rooms のデバイス パートナー | Zoom Phone および Zoom Rooms のデバイス パートナーからは、脆弱性の影響がないことを確認しました。 |
| Zoom Apps | サードパーティの Zoom Apps のデベロッパーからは、脆弱な Log4j バージョンを使用する Zoom Apps すべてで、更新または緩和が完了していることを確認しました。 |
編集者注: この速報は 2022 年 1 月 14 日に編集し、CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832 の脆弱性への Zoom の対処に関する最新情報を含めました。