Streszczenie
Firma Zoom przeanalizowała nasze produkty i usługi w celu zidentyfikowania i złagodzenia ryzyka wynikającego z luk w zabezpieczeniach Apache Log4j ujawnionych w CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 i CVE-2021-44832. Firma Zoom kontynuuje łagodzenie ryzyka i łatanie podatnych wersji Log4j zgodnie z zaleceniami Apache. Planujemy zaktualizować zidentyfikowane podatne instancje Log4j do najnowszej dostępnej wersji, gdy staną się one dostępne oraz po przeprowadzeniu testów.
Wyeliminowanie tych luk w zabezpieczeniach jest dla Zoom najwyższym priorytetem. Uważnie monitorujemy sytuację i pilnie pracujemy nad jej jak najszybszym rozwiązaniem. Ta strona będzie aktualizowana w miarę pojawiania się istotnych informacji.
Na podstawie naszych dotychczasowych ustaleń przedstawiamy poniżej aktualny stan produktów i usług Zoom.
| Produkty i usługi Zoom | Status |
|---|---|
| Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom | Klienty Zoom dla systemów Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (i wtyczki VDI) oraz klienty internetowe nie korzystają z podatnych wersji Log4j. Użytkownicy nie muszą obecnie podejmować żadnych działań. |
| Backend produkcyjny Zoom (z wyłączeniem oprogramowania komercyjnego innych firm)* | Backend produkcyjny Zoom (z wyłączeniem oprogramowania komercyjnego innych firm) został zaktualizowany do wersji Log4j 2.16.0 jako wersji minimalnej lub zastosowano odpowiednie środki łagodzące w celu rozwiązania problemów zidentyfikowanych w CVE 2021-44228 i CVE-2021-45046. Firma Zoom przeprowadziła ocenę problemów w CVE-2021-44832 i CVE-2021-45105 i ustaliła, że nasz backend produkcyjny nie jest podatny ze względu na warunki wymagane do eksploatacji. |
| Oprogramowanie komercyjne innych firm w zakresie backendu produkcyjnego firmy Zoom | Jesteśmy w trakcie oceny sytuacji, którą przeprowadzamy we współpracy z naszymi zewnętrznymi dostawcami oprogramowania komercyjnego. Stosujemy i planujemy kontynuować stosowanie wszelkich aktualizacji, gdy tylko będą dostępne. Zaktualizowano głównych zewnętrznych dostawców oprogramowania dla Zoom lub zastosowano odpowiednie środki łagodzące. |
| Zoom dla rządu | Klienty Zoom dla systemów Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (i wtyczki VDI) oraz klienty internetowe nie korzystają z podatnych wersji Log4j. Użytkownicy nie muszą obecnie podejmować żadnych działań. |
| Zoom Phone | Klienty Zoom Phone nie korzystają z podatnych wersji Log4j. W tej chwili użytkownicy nie muszą podejmować żadnych działań. |
| Zoom Rooms i Zoom dla domu | Klienty Zoom Rooms i Zoom dla domu nie korzystają z podatnych wersji Log4j. W tej chwili użytkownicy nie muszą podejmować żadnych działań. |
| Zoom Team Chat | Klienty Zoom Team Chat nie korzystają z podatnych wersji Log4j. W tej chwili użytkownicy nie muszą podejmować żadnych działań. |
| Zoom Marketplace | W zakresie naszego backendu zastosowaliśmy zalecane przez Apache środki łagodzące i zaktualizowaliśmy wszystkie zidentyfikowane do tej pory systemy do wersji Log4j 2.16.0 jako wersji minimalnej. Obecnie użytkownicy nie muszą podejmować żadnych działań. |
| API i SDK Platformy dla programistów Zoom | Zestawy Zoom SDK nie korzystają z podatnych wersji Log4j. W tej chwili użytkownicy nie muszą podejmować żadnych działań. |
| Lokalne wdrożenie Zoom | Zoom Hybrid MMR, Dodatek VRC, Dodatek spotkania, Dodatek API i Dodatek nagrywania nie korzystają z podatnych wersji Log4j. |
| Usługi świadczone przez strony trzecie | Jesteśmy w trakcie oceny sytuacji we współpracy z naszymi stronami trzecimi. |
| Partnerzy w zakresie urządzeń dla Zoom Phone i Zoom Rooms | Nasi partnerzy w zakresie urządzeń Zoom Phone i Zoom Rooms potwierdzili, że podatności nie mają wpływu na ich działanie. |
| Zoom Apps | Nasi zewnętrzni programiści Zoom Apps potwierdzili, że każda aplikacja Zoom korzystająca z podatnej wersji Log4j została zaktualizowana lub zostały zastosowane odpowiednie środki łagodzące. |
Uwaga redaktora: biuletyn został zredagowany 14 stycznia 2022 r. i zawiera najbardziej aktualne informacje na temat odpowiedzi firmy Zoom na luki w zabezpieczeniach zidentyfikowane w CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 i CVE-2021-44832.