Sammanfattning
Zoom har analyserat våra produkter och tjänster för att identifiera och mildra Apache Log4j-sårbarheter som offentliggjorts i CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 och CVE-2021-44832. Zoom fortsätter att mildra och korrigera sårbara versioner av Log4j i enlighet med Apaches rekommendationer. Vi planerar att uppdatera identifierade sårbara Log4j-instanser med den senaste tillgängliga versionen när de blir tillgängliga och efter tester.
Att åtgärda dessa sårbarheter är högsta prioritet för Zoom. Vi följer situationen noga och arbetar hårt för att lösa det så snart som möjligt. Denna sida kommer att uppdateras när väsentlig information blir tillgänglig.
Baserat på våra resultat hittills har vi beskrivit den aktuella statusen för Zoom-produkter och tjänster nedan.
| Zoom-produkter och tjänster | Status |
|---|---|
| Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom | Zoom-klienter för Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (och VDI plug-in) och webbklienter använder inte de sårbara versionerna av Log4j. Användare behöver inte vidta några åtgärder för närvarande. |
| Zooms produktionsbackend (exklusive kommersiell programvara från tredje part)* | Zooms produktionsbackend (exklusive kommersiell programvara från tredje part) har uppdaterats till Log4j version 2.16.0 som minimiversion eller mildrats för att lösa problemen som identifierats i CVE 2021-44228 och CVE-2021-45046. Zoom gjorde en bedömning av problemen i CVE-2021-44832 och CVE-2021-45105 och avgjorde att vår produktionsbackend inte är sårbar på grund av förhållandena som krävs för utnyttjande. |
| Zooms produktionsbackend tredje parts kommersiella programvara | Vi håller på att utvärdera situationen med våra leverantörer av kommersiell programvara från tredje part. Vi har tillämpat och planerar att fortsätta tillämpa uppdateringar när de blir tillgängliga. Zooms viktigaste leverantörer av programvara från tredje part har uppdaterats eller mildrats. |
| Zoom för myndigheter | Zoom-klienter för Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (och VDI plug-in) och webbklienter använder inte de sårbara versionerna av Log4j. Användare behöver inte vidta några åtgärder för närvarande. |
| Zoom Phone | Zoom Phone-klienter använder inte de sårbara versionerna av Log4j. Användare behöver inte vidta några åtgärder för närvarande. |
| Zoom Rooms och Zoom for Home | Zoom Rooms- och Zoom för hemmet-klienter använder inte de sårbara versionerna av Log4j. Användare behöver inte vidta några åtgärder för närvarande. |
| Zoom Team Chat | Zoom Team Chat-klienter använder inte de sårbara versionerna av Log4j. Användare behöver inte vidta några åtgärder för närvarande. |
| Zoom Marketplace | För vår backend har vi tillämpat Apaches rekommenderade begränsningar och uppdaterat alla system som hittills identifierats till Log4j version 2.16.0 som minimiversionen. Användare behöver inte vidta några åtgärder för närvarande. |
| API:er och SDK:er för Zoom Developer Platform | Zoom SDK:er använder inte de sårbara versionerna av Log4j. Användare behöver inte vidta några åtgärder för närvarande. |
| Zoom lokal distribution | Zoom Hybrid MMR, VRC, Meeting Connector, API Connector och Recording Connector använder inte de sårbara versionerna av Log4j. |
| Tjänster som tillhandahålls av tredje part | Vi håller på att utvärdera situationen med våra tredje parter. |
| Enhetspartners för Zoom Phone och Zoom Rooms | Våra enhetspartners för Zoom Phone och Zoom Rooms har bekräftat att de inte påverkas. |
| Zoom Apps | Våra tredjepartsutvecklare av Zoom Apps har bekräftat att alla Zoom-appar som använder en sårbar version av Log4j har uppdaterats eller minskats. |
Redaktörens anmärkning: Denna bulletin redigerades den 14 januari 2022 för att inkludera den senaste informationen om Zooms svar på CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 och CVE-2021 -44832 sårbarheter.