Özet
Zoom; CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 ve CVE-2021-44832'de açıklanan Apache Log4j güvenlik açıklarını belirlemek ve azaltmak için ürünlerimizi ve hizmetlerimizi analiz etmektedir. Zoom, Apache'nin tavsiyelerine uygun olarak Log4j'nin güvenlik açığı bulunan sürümlerini azaltmaya ve yamalamaya devam ediyor. Güvenlik açıklarının olduğu tespit edilen Log4j örneklerini, kullanılabilir olduğunda ve testlerin ardından mevcut en son sürümle güncellemeyi planlıyoruz.
Bu güvenlik açıklarını gidermek Zoom için en önemli önceliktir. Durumu yakından izliyor ve mümkün olan en kısa sürede çözmek için özenle çalışıyoruz. Önemli bilgiler elde edildikçe bu sayfa güncellenecektir.
Bugüne kadarki bulgularımıza dayanarak, Zoom ürün ve hizmetlerinin mevcut durumunu aşağıda özetledik.
| Zoom Ürün ve Hizmetleri | Durum |
|---|---|
| Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom | Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (ve VDI eklentisi) ve web istemcileri için Zoom istemcileri, güvenlik açığı bulunan Log4j sürümlerini kullanmaz. Şu anda kullanıcılar tarafından herhangi bir işlem yapılması gerekmemektedir. |
| Zoom'un Üretim Arka Ucu (Üçüncü Taraf Ticari Yazılımlar Hariç)* | Zoom'un üretim arka ucu (üçüncü taraf ticari yazılımlar hariç); CVE 2021-44228 ve CVE-2021-45046'da tanımlanan sorunları gidermek için minimum sürüm olarak Log4j sürüm 2.16.0'a güncellendi veya riskleri azaltıldı. Zoom; CVE-2021-44832 ve CVE-2021-45105'teki sorunları değerlendirdi ve kötüye kullanım için gerekli koşullar nedeniyle üretim arka ucumuzda güvenlik açıklarının olmadığını belirledi. |
| Zoom'un Üretim Arka Ucu Üçüncü Taraf Ticari Yazılımlar | Üçüncü taraf ticari yazılım tedarikçilerimizle durumu değerlendirme sürecindeyiz. Güncellemeleri, kullanıma hazır hale geldikçe uygulamaya devam etmeyi planlıyoruz. Zoom'un temel üçüncü taraf yazılım satıcıları güncellendi veya riskleri azaltıldı. |
| Kamu Sektörü için Zoom | Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (ve VDI eklentisi) ve web istemcileri için Zoom istemcileri, güvenlik açığı bulunan Log4j sürümlerini kullanmaz. Şu anda kullanıcılar tarafından herhangi bir işlem yapılması gerekmemektedir. |
| Zoom Phone | Zoom Phone istemcileri Log4j'nin güvenlik açığı bulunan sürümlerini kullanmaz. Şu anda kullanıcılar tarafından herhangi bir işlem yapılması gerekmemektedir. |
| Zoom Rooms ve Zoom for Home | Zoom Rooms ve Zoom for Home istemcileri Log4j'nin güvenlik açığı bulunan sürümlerini kullanmamaktadır. Şu anda kullanıcılar tarafından herhangi bir işlem yapılması gerekmemektedir. |
| Zoom Team Chat | Zoom Team Chat istemcileri Log4j'nin güvenlik açığı bulunan sürümlerini kullanmamaktadır. Şu anda kullanıcılar tarafından herhangi bir işlem yapılması gerekmemektedir. |
| Zoom Marketplace | Arka ucumuz için Apache'nin önerdiği risk azaltma işlemlerini uyguladık ve bugüne kadar tespit edilen tüm sistemleri minimum sürüm olarak Log4j sürüm 2.16.0'a güncelledik. Şu anda kullanıcılar tarafından herhangi bir işlem yapılması gerekmemektedir. |
| Zoom Geliştirici Platformu API'leri ve SDK'ları | Zoom SDK'ları Log4j'nin güvenlik açığı bulunan sürümlerini kullanmamaktadır. Şu anda kullanıcılar tarafından herhangi bir işlem yapılması gerekmemektedir. |
| Zoom Şirket İçi Dağıtımı | Zoom Hybrid MMR, VRC, Toplantı Bağlayıcısı, API Bağlayıcısı ve Kayıt Bağlayıcısı, Log4j'nin güvenlik açığı bulunan sürümlerini kullanmamaktadır. |
| Üçüncü Taraflarca Sağlanan Hizmetler | Çalıştığımız üçüncü taraf şirketlerle durumu değerlendirme sürecindeyiz. |
| Zoom Phone ve Zoom Rooms için Cihaz Ortakları | Zoom Phone ve Zoom Rooms için cihaz ortaklarımız bu durumdan etkilenmediklerini doğruladı. |
| Zoom Apps | Üçüncü taraf Zoom Apps geliştiricilerimiz, Log4j'nin güvenlik açığı bulunan bir sürümünü kullanan tüm Zoom Apps'in güncellendiğini veya risklerin azaltıldığını doğruladı. |
Editörün notu: Bu bülten, Zoom'un CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 ve CVE-2021-44832 güvenlik açıklarına verdiği yanıtla ilgili en güncel bilgileri içerecek şekilde 14 Ocak 2022'de düzenlenmiştir.