摘要
Zoom 一直在分析我们的产品和服务,以识别和缓解在 CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 和 CVE-2021-44832 中披露的 Apache Log4j 漏洞。Zoom 将继续根据 Apache 的建议缓解和修补易受攻击的 Log4j 版本。我们计划在发布最新的可用版本并经过测试后,随该版本更新已识别的易受攻击的 Log4j 实例。
解决这些漏洞是 Zoom 的首要任务。我们正密切关注事态发展,并努力工作以期尽快解决问题。我们在获得重要信息时将会更新本页面。
根据我们迄今为止的调查结果,我们在下面概述了 Zoom 产品和服务的当前状态。
| Zoom 产品和服务 | 状态 |
|---|---|
| Zoom Meetings、Zoom Events、Zoom Webinars、OnZoom | 适用于 Windows、Mac、Linux、iOS、Android、BlackBerry、VDI(和 VDI 插件)以及 Web 客户端的 Zoom 客户端不使用易受攻击的 Log4j 版本。 用户目前无需采取任何行动。 |
| Zoom 的生产后端(不包括第三方商业软件)* | Zoom 的生产后端(不包括第三方商业软件)已更新至 Log4j 2.16.0 版作为最低版本,或已采取缓解措施来解决 CVE 2021-44228 和 CVE-2021-45046 中识别的问题。Zoom 对 CVE-2021-44832 和 CVE-2021-45105 中的问题进行了评估,并确定,鉴于利用漏洞所需的条件,我们的生产后端不存在漏洞。 |
| Zoom 的生产后端第三方商业软件 | 我们正在与第三方商业软件供应商一起评估情况。我们已经并计划继续应用任何可用的更新。 Zoom 的核心第三方软件供应商已更新或已采取缓解措施。 |
| Zoom 政府版 | 适用于 Windows、Mac、Linux、iOS、Android、BlackBerry、VDI(和 VDI 插件)以及 Web 客户端的 Zoom 客户端不使用易受攻击的 Log4j 版本。 用户目前无需采取任何行动。 |
| Zoom Phone | Zoom Phone 客户端不使用存在漏洞的 Log4j 版本。 用户目前无需采取任何行动。 |
| Zoom Rooms 和 Zoom for Home | Zoom Rooms 和 Zoom for Home 客户端不使用存在漏洞的 Log4j 版本。 用户目前无需采取任何行动。 |
| Zoom Team Chat | Zoom Team Chat 客户端不使用存在漏洞的 Log4j 版本。 用户目前无需采取任何行动。 |
| Zoom Marketplace | 对于我们的后端,我们已经应用了 Apache 建议的缓解措施,并且已将迄今为止识别的所有系统更新到 Log4j 2.16.0 作为最低版本。用户目前无需采取任何行动。 |
| Zoom 开发人员平台 API 和 SDK | Zoom SDK 不使用存在漏洞的 Log4j 版本。 用户目前无需采取任何行动。 |
| Zoom 企业部署 | Zoom Hybrid MMR、VRC、会议连接器、API 连接器和录制连接器不使用存在漏洞的 Log4j 版本。 |
| 第三方提供的服务 | 我们正与第三方一起评估情况。 |
| Zoom Phone 和 Zoom Rooms 的设备合作伙伴 | 我们的 Zoom Phone 和 Zoom Rooms 设备合作伙伴已确认,他们不受影响。 |
| Zoom Apps | 我们的第三方 Zoom Apps 开发人员已确认,使用存在漏洞的 Log4j 版本的所有 Zoom Apps 均已更新或已采取缓解措施。 |
编注:本公告于 2022 年 1 月 14 日编辑,以包含关于 Zoom 对 CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 和 CVE-2021-44832 漏洞的最新响应信息。