Riepilogo
Zoom ha analizzato i propri prodotti e servizi per identificare e mitigare le vulnerabilità di Apache Log4j divulgate in CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 e CVE-2021-44832. Zoom prosegue a mitigare e a correggere le versioni vulnerabili di Log4j in conformità con le raccomandazioni di Apache. Abbiamo in programma di aggiornare le istanze Log4j vulnerabili identificate con la versione più recente a disposizione non appena saranno disponibili e avranno superato i test.
Risolvere queste vulnerabilità è una priorità assoluta per Zoom. Monitoriamo attentamente la situazione e siamo impegnati diligentemente per risolverla il prima possibile. Aggiorneremo questa pagina non appena saranno disponibili informazioni materiali.
Sulla base dei risultati ottenuti a oggi, di seguito abbiamo delineato lo stato attuale dei prodotti e dei servizi Zoom.
| Prodotti e servizi Zoom | Stato |
|---|---|
| Zoom Meetings, Zoom Events, Zoom Webinars, OnZoom | I client Zoom per Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (e plug-in VDI) e i client web non utilizzano le versioni vulnerabili di Log4j. Al momento non è richiesta alcuna azione da parte degli utenti. |
| Backend di produzione di Zoom (escluso il software commerciale di terze parti)* | Il backend di produzione di Zoom (escluso il software commerciale di terze parti) è stato aggiornato alla versione Log4j 2.16.0 come versione minima o è stato attenuato per risolvere i problemi identificati in CVE 2021-44228 e CVE-2021-45046. Zoom ha condotto una valutazione dei problemi in CVE-2021-44832 e CVE-2021-45105 e ha stabilito che il nostro backend di produzione non è vulnerabile a causa delle condizioni richieste per lo sfruttamento. |
| Software commerciale di terze parti per il backend di produzione di Zoom | Stiamo valutando la situazione con i nostri fornitori di software commerciale di terze parti. Abbiamo e abbiamo intenzione di continuare ad applicare tutti gli aggiornamenti man mano che saranno disponibili. I principali fornitori di software di terze parti di Zoom sono stati aggiornati o mitigati. |
| Zoom per la Pubblica amministrazione | I client Zoom per Windows, Mac, Linux, iOS, Android, BlackBerry, VDI (e plug-in VDI) e i client web non utilizzano le versioni vulnerabili di Log4j. Al momento non è richiesta alcuna azione da parte degli utenti. |
| Zoom Phone | I client di Zoom Phone non utilizzano le versioni vulnerabili di Log4j. Al momento non è richiesta alcuna azione da parte degli utenti. |
| Zoom Rooms e Zoom per casa | I client di Zoom Rooms e Zoom per casa non utilizzano le versioni vulnerabili di Log4j. Al momento non è richiesta alcuna azione da parte degli utenti. |
| Zoom Team Chat | I client di Zoom Team Chat non utilizzano le versioni vulnerabili di Log4j. Al momento non è richiesta alcuna azione da parte degli utenti. |
| Zoom Marketplace | Per il nostro backend, abbiamo applicato le mitigazioni raccomandate da Apache e aggiornato tutti i sistemi identificati finora alla versione 2.16.0 di Log4j come versione minima. Al momento non è richiesta alcuna azione da parte degli utenti. |
| SKI e API della Piattaforma per sviluppatori Zoom | Gli SDK Zoom non utilizzano le versioni vulnerabili di Log4j. Al momento non è richiesta alcuna azione da parte degli utenti. |
| Implementazione in sede di Zoom | Zoom Hybrid MMR, VRC, Connettore delle riunioni, Connettore API e Connettore della registrazione non utilizzano le versioni vulnerabili di Log4j. |
| Servizi forniti da terze parti | Stiamo valutando la situazione con i nostri partner di terze parti. |
| Dispositivi partner per Zoom Phone e Zoom Rooms | I nostri dispositivi partner per Zoom Phone e Zoom Rooms hanno confermato che non sono stati interessati. |
| Zoom Apps | I nostri sviluppatori di Zoom Apps di terze parti hanno confermato che tutte le app Zoom che utilizzano una versione vulnerabile di Log4j sono state aggiornate o mitigate. |
Nota di redazione: questo bollettino è stato modificato il 14 gennaio 2022 per includere le informazioni più aggiornate sulla risposta di Zoom alle vulnerabilità CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 e CVE-2021-44832.