摘要
Zoom 持續分析我們的產品和服務,以識別和緩解 CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 和 CVE-2021-44832 中揭露的 Apache Log4j 漏洞。Zoom 繼續根據 Apache 的建議緩解和修補 Log4j 的易受攻擊版本。我們預計在已識別的易受攻擊 Log4j 執行個體可用並經過測試後,以最新的可用版本套用更新。
解決這些漏洞是 Zoom 的首要任務。我們正密切監測情勢,並努力儘快解決此情況。此頁面將在資訊可用時進行更新。
根據我們目前為止的調查結果,以下概述 Zoom 產品和服務的最新狀態。
| Zoom 產品與服務 | 狀態 |
|---|---|
| Zoom Meetings、Zoom Events、Zoom Webinars、OnZoom | 適用於 Windows、Mac、Linux、iOS、Android、BlackBerry、VDI (和 VDI 外掛程式) 的 Zoom 用戶端和網頁用戶端不使用有漏洞的 Log4j 版本。 使用者目前無需執行任何操作。 |
| Zoom 的生產後端 (不包括第三方商業軟體)* | Zoom 的生產後端 (不包括第三方商業軟體) 已更新至 Log4j 版本 2.16.0 作為最低版本或緩解措施,以解決 CVE 2021-44228 和 CVE-2021-45046 中已識別的問題。Zoom 已對 CVE-2021-44832 和 CVE-2021-45105 中的問題進行評估,並判斷因利用漏洞所需的條件,我們的生產後端不易受到攻擊。 |
| Zoom 的生產後端第三方商業軟體 | 我們正在與第三方商業軟體供應商共同評估情況。我們已執行並預計在任何更新可用時繼續套用更新。 Zoom 的核心第三方軟體供應商已經更新或緩解。 |
| Zoom 政府版 | 適用於 Windows、Mac、Linux、iOS、Android、BlackBerry、VDI (和 VDI 外掛程式) 的 Zoom 用戶端和網頁用戶端不使用有漏洞的 Log4j 版本。 使用者目前無需執行任何操作。 |
| Zoom Phone | Zoom Phone 用戶端不使用有漏洞的 Log4j 版本。 使用者目前無需執行任何操作。 |
| Zoom Rooms 和 Zoom for Home | Zoom Rooms 和 Zoom for Home 客戶端不使用有漏洞的 Log4j 版本。 使用者目前無需執行任何操作。 |
| Zoom Team Chat | Zoom Team Chat 客戶端不使用有漏洞的 Log4j 版本。 使用者目前無需執行任何操作。 |
| Zoom Marketplace | 對於我們的後端,我們套用 Apache 建議的緩解措施,並將目前為止已識別的任何系統更新為 Log4j 版本 2.16.0 作為最低版本。使用者目前無需執行任何操作。 |
| Zoom 開發人員平台 API 和 SDK | Zoom SDK 不使用有漏洞的 Log4j 版本。 使用者目前無需執行任何操作。 |
| Zoom 企業部署 | Zoom Hybrid MMR、虛擬會議室連接器 (VRC)、會議連接器、API 連接器和錄製連接器不使用易受攻擊的 Log4j 版本。 |
| 第三方提供的服務 | 我們正在與我們的第三方共同評估情況。 |
| Zoom Phone 和 Zoom Rooms 的裝置合作夥伴 | 我們的 Zoom Phone 和 Zoom Rooms 裝置合作夥伴已確認他們不受影響。 |
| Zoom Apps | 我們的第三方 Zoom Apps 開發人員已確認,任何使用易受攻擊的 Log4j 版本的 Zoom 應用程式皆已更新或緩解。 |
編者註釋:此公告於 2022 年 1 月 14 日編輯,包含 Zoom 對 CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 和 CVE-2021-44832 漏洞的回應的最新資訊。