Le 9 décembre 2021, Vimeo et la majorité du monde de la technologie ont pris connaissance d'une vulnérabilité Zero-Day, CVE-2021-44228, actuellement appelée la vulnérabilité Log4j ou Log4Shell.
Vimeo a identifié un impact limité sur notre environnement de production, qui a été atténué.
Nos équipes ont travaillé sans relâche pour remédier à ce problème par le biais de contrôles de sécurité à plusieurs niveaux, y compris l'analyse de notre environnement, la désactivation des services inutiles et l'application de correctifs lorsque cela est nécessaire. Nous avons également pris des mesures pour identifier les tiers et les fournisseurs essentiels concernés et communiquer avec eux afin de remédier aux vulnérabilités potentielles et de garantir une voie sûre pour l'avenir.
Les vulnérabilités associées à la bibliothèque Log4j continuent d'évoluer, et Vimeo reconnaît
que la menace qui lui est associée est fluide par nature. Nous continuons à surveiller les acteurs de la menace qui tentent d'exploiter la vulnérabilité Log4j comme vecteur d'attaque, mais nous n'avons toujours pas observé de signes d'exploitation ou de compromission des systèmes ou des ressources de Vimeo.