Samenvatting
Zoom heeft onze producten en diensten geanalyseerd om de kwetsbaarheden in Apache Log4j, die zijn openbaargemaakt in CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 en CVE-2021-44832, te identificeren en te verhelpen. Zoom blijft kwetsbare versies van Log4j beperken en patchen in overeenstemming met de aanbevelingen van Apache. We zijn van plan om geïdentificeerde kwetsbare Log4j-exemplaren bij te werken met de nieuwste beschikbare versie zodra deze beschikbaar zijn en na het testen.
Het verhelpen van deze kwetsbaarheden is een topprioriteit voor Zoom. We houden de situatie nauwlettend in de gaten en werken er hard aan om deze zo snel mogelijk op te lossen. Deze pagina wordt bijgewerkt zodra er meer informatie beschikbaar is.
Op basis van onze bevindingen tot nu toe hebben we hieronder de huidige status van Zoom-producten en -diensten beschreven.
| Zoom-producten en -diensten | Status |
|---|---|
| Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom | Zoom-clients voor Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (en VDI-plug-in) en webclients gebruiken de kwetsbare versies van Log4j niet. Gebruikers hoeven op dit moment geen actie te ondernemen. |
| De productie-backend van Zoom (met uitzondering van commerciële software van derden)* | De productie-backend van Zoom (met uitzondering van commerciële software van derden) is bijgewerkt naar Log4j versie 2.16.0 als minimumversie of beperkt om de problemen op te lossen die zijn geïdentificeerd in CVE 2021-44228 en CVE-2021-45046. Zoom voerde een beoordeling uit van de problemen in CVE-2021-44832 en CVE-2021-45105 en heeft vastgesteld dat onze productie-backend niet kwetsbaar is vanwege de voorwaarden die vereist zijn voor exploitatie. |
| Zooms productie-backend commerciële software van derden | We zijn bezig met het beoordelen van de situatie bij onze externe commerciële softwareleveranciers. We hebben en zijn van plan om updates te blijven toepassen zodra deze beschikbaar zijn. De belangrijkste externe softwareleveranciers van Zoom zijn bijgewerkt of beperkt. |
| Zoom voor de overheid | Zoom-clients voor Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (en VDI-plug-in) en webclients gebruiken de kwetsbare versies van Log4j niet. Gebruikers hoeven op dit moment geen actie te ondernemen. |
| Zoom Phone | Zoom Phone-clients gebruiken de kwetsbare versies van Log4j niet. Gebruikers hoeven op dit moment geen actie te ondernemen. |
| Zoom Rooms en Zoom for Home | Zoom Rooms- en Zoom for Home-clients gebruiken de kwetsbare versies van Log4j niet. Gebruikers hoeven op dit moment geen actie te ondernemen. |
| Zoom Team Chat | De Zoom Team Chat-clients gebruiken de kwetsbare versies van Log4j niet. Gebruikers hoeven op dit moment geen actie te ondernemen. |
| Zoom Marketplace | Voor onze backend hebben we de aanbevolen maatregelen van Apache toegepast en alle geïdentificeerde systemen bijgewerkt naar Log4j versie 2.16.0 als minimumversie. Gebruikers hoeven op dit moment geen actie te ondernemen. |
| Zoom-ontwikkelaarsplatform-API's en -SDK's | Zoom SDK's gebruiken de kwetsbare versies van Log4j niet. Gebruikers hoeven op dit moment geen actie te ondernemen. |
| Lokale implementatie Zoom | De Zoom Hybride MMR, VRC, Vergaderingsconnector, API-connector en Opnameconnector gebruiken de kwetsbare versies van Log4j niet. |
| Diensten geleverd door derden | We onderzoeken de situatie met onze derden. |
| Apparaatpartners voor Zoom Phone en Zoom Rooms | Onze apparaatpartners voor Zoom Phone en Zoom Rooms hebben bevestigd dat ze geen impact ondervinden. |
| Zoom Apps | Onze externe Zoom Apps-ontwikkelaars hebben bevestigd dat elke Zoom-app die een kwetsbare versie van Log4j gebruikt, is bijgewerkt of beperkt. |
Noot van de redactie: dit bulletin is bewerkt op 14 januari 2022 met de meest actuele informatie over de reactie van Zoom op de kwetsbaarheden CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 en CVE-2021-44832.