Zoom Quarterly Lifecycle Policy

Zoom Room

Es gibt also eine neue Zoom Quarterly Lifecycle Policy. Worum geht’s und betrifft uns das überhaupt?

Während Updates früher seltener, dafür umso größer ausfielen, veröffentlichen heutzutage viele AV/Collaboration-Hersteller Updates in erstaunlicher Häufigkeit. Praktisch täglich werden neue Sicherheitslücken entdeckt, folglich gibt es einen permanenten Strom an Patches und Bugfixes. PLUS natürlich der Kampf der UC-Plattformen und dem Rennen nach immer neuen Features.

Kurzum, häufige Software-Updates sind aus einem professionellen Betriebs-Konzept auch in der Medientechnik nicht mehr wegzudenken. Auch sind Hersteller ohne regelmäßige Software-Updates absolut kritisch zu betrachten, denn nur naive Zeitgenossen glauben, dass ein Hersteller weniger anfällig für solche Sicherheitslücken wäre als ein anderer! Speziell, wenn hinter den Kulissen die härtesten Mitbewerber oft auf die exakt gleichen Bibliotheken zurückgreifen, also ein identes Risiko in ihren Geräten eingebaut haben.

Aber wie sieht es auf Betreiber-Seite aus? Werden die Patches und Updates der Hersteller dann auch zeitnah eingespielt? Oder laufen die Systeme monate- oder gar jahrelang mit veraltetem Software-Stand? Viele Admins fürchten (manchmal berechtigterweise!), dass neue Versionen auch neue Probleme mitbringen. Da liegt es nahe nach dem Motto „never change a running system“ zu agieren.

Release Management bei Raumsystemen

Nicht nur bei Zoom war es üblich, dass man sogar sehr alte Versionen problemlos verwenden konnte. Man musste zwar auf neue Features verzichten und natürlich auch auf unzählige Sicherheits-Fixes, die Kernfunktionen liefen aber noch immer problemlos.

Im Sinne des Herstellers ist dies aber sicher nicht! Kommt es zu einem Security-Problem, zeigen alle auf den Hersteller, obwohl dieser schon längst einen Fix dafür verfügbar hat. Neue Features setzen sich nur langsam durch, weil die installierte Basis nur langsam auf neue Versionen kommt und vieles andere mehr.

Zoom Quarterly Lifecycle Policy

ZOOM hat nun klar Stellung zu dem Problem bezogen und eine Zoom Quarterly Lifecycle Policy veröffentlicht. Darin finden sich darin ein paar interessante Details.

  • Zum Stichtag 5. November 2022 müssen alle Zoom Clients mindestens auf Version 5.8.x hochgezogen sein. Älteren Versionen wird der Zugriff gesperrt. Diese Version ist ca. 1 Jahr alt. Die Nutzer müssen also mindestens auf dem Feature- und Security-Stand von Nov 2021 sein. Damit entledigt man sich vieler Uralt-Probleme und schneidet alte Zöpfe endgültig ab.
  • Jedes Quartal wird diese Mindestversion höher gesetzt. Der Support für zu alte Versionen läuft dann jeweils zum ersten Wochenende der Monate Februar, Mai, August und November aus. In anderen Worten: Die Latte wird jedes Quartal ein wenig höher gelegt.
  • Zeitgleich wird jene Software-Version genannt, die zum dann folgenden Stichtag (Quartal) dann als neues Minimum gilt. Admins haben folglich 3 Monate Zeit, ihre Systeme zu überprüfen, ob sie vom nächsten Cut-Off betroffen sein werden.
  • Zoom will sich bemühen, jede Software-Version mindestens 9 Monate lang im Support zu halten, will und kann dies aber nicht garantieren! In anderen Worten: Wer heute den Zoom-Client auf die neueste Release bringt, der sollte diese 9 Monate lang ohne Update nutzen können. Dies sollte selbst für Update-Muffel ausreichend lang sein.
  • Das Wichtigste zum Schluss: Zoom behält sich ausdrücklich vor, diesen 9-Monats Zeitraum unter besonderen Umständen (im Notfall auch signifikant!) zu kürzen und auf schnellere Updates zu bestehen!
    Schon in der Vergangenheit musste Zoom bei schweren Security-Incidents Bugfixes publizieren. Im Extremfall waren ungepatchte Systeme sogar bis zu einem Update von der Zoom Plattform verbannt.

Konkretes Beispiel für Zoom Rooms

Stand heute (2. November 2022) ergibt dies für Zoom Rooms (ZR) und Zoom Rooms Controller (ZRC) nun folgendes Bild:

  • Die derzeit aktuelle Software-Release ist Version 5.12.2 vom 16. Oktober 2022
  • Aktueller Cut-Off-Date am 5. November 2022 fordert die Min. Version 5.8.3
  • Nächster Cut-Off am 4. Februar 2023 wird die Min. Version 5.10.3 fordern.

Beispiel: Wer jetzt (November) seine Zoom Rooms zumindest auf Version 5.10.6 (Release Mai 2022) bringt, ist weder vom aktuellen Nov22 noch vom kommenden Feb23 Cut-Off betroffen.

Auswirkungen auf den Betrieb von Zoom Rooms

Die neue Zoom Software Quarterly Lifecycle Policy ergibt nun konkrete Handlungs-Anweisungen für die Admins und Betreiber von Zoom Rooms:

  1. Zoom Rooms können nicht einfach per „install & forget“ ausgerollt werden, sondern benötigen ein klares Update-Konzept. Dies inkludiert nicht nur die Zoom Room PCs/Macs, sondern auch die Bedien-Touchpanels! Hersteller wie z.B. Crestron, welche gerne als Zoom Room Controller oder Zoom Scheduling Panel verwendet werden, müssen zeitnah jeweils aktuelle Versionen in ihren App-Stores bereitstellen.
    (Info: Crestron liefert aktuell ZRC 5.12.0 aus, ist recht aktuell)
  2. Selbst im besten Fall werden Zoom Rooms zumindest alle 9 Monate ein Update bekommen. Patch-Strategien wie z.B. „einmal jährlich in den Sommerferien“ reichen nicht mehr aus.
  3. Die Mindestversionen steigen jedes Quartal; Admins müssen also mindestens einmal pro Quartal einen Blick auf Ihren Bestand machen, so sie ihre Systeme nicht „automatisch“ auf halbwegs aktuellen Versionen halten. Beispielsweise neue Versionen jeweils 8 Wochen nach Release auszurollen.
  4. Zoom Room Admins sind gut beraten, sich Prozesse und Konzepte für Release-Tracking, Testing, Roll-Out und Device-Management zu überlegen oder diese gemeinsam mit Profis zu erarbeiten. Längst nicht alles funktioniert auf Knopfdruck im Zoom Admin Portal! So heben z.B. neue Zoom Client Versionen auch die Mindestanforderung für das darunter laufende Betriebssystem der Geräte. Eine kleine „Kettenreaktion“ an Updates kann die Folge sein.
  5. Zoom ist nur eine App und läuft auf Hardware, die nicht von Zoom kommt. Auch diese Hardware-OEMs veröffentlichen regelmäßig Sicherheits-relevante Updates für Ihre Produkte. In anderen Worten: Hier bedarf es einer koordinierten Vorgangsweise!

Schlussbetrachtung

Der Weg, den Zoom eingeschlagen hat, ist in mehrfacher Hinsicht interessant. Anstatt wage zu bleiben und dehnbare Begriffe wie „nicht aktuell“ oder „zu alt“ zu bemühen, gibt es nun ein klares Lifecycle-Konzept mit einer klaren Support-Matrix.

Alle Angaben sind als MINDEST-Anforderung zu verstehen, die ein ignorantes „install & forget“ verhindern sollen! Aus Security-Sicht sind häufigere Updates durchaus zu bevorzugen und bei ordentlicher Patch-Strategie auch kein riesiger Aufwand.

Wenn dieser Artikel in Ihrer Organisation Fragen zum Thema Lifecycle-Management aufwirft, so stehe ich gerne zur Verfügung.