لا يتأثر I2P بثغرة يوم الصفر في log4j التي نُشرت يوم أمس، CVE-2021-44228. لا يستخدم I2P log4j لتسجيل الأحداث، ومع ذلك احتجنا أيضًا إلى مراجعة التبعيات لدينا للتحقق من استخدام log4j، وخاصةً jetty. لم تكشف هذه المراجعة عن أي ثغرات.
كان من المهم أيضًا التحقق من جميع المكوّنات الإضافية لدينا. قد تجلب المكوّنات الإضافية أنظمة تسجيل خاصة بها، بما في ذلك log4j. وجدنا أن معظم المكوّنات الإضافية أيضًا لا تستخدم log4j، وأن تلك التي تستخدمه لم تكن تستخدم إصدارًا معرّضًا للثغرات من log4j.
لم نعثر على أي اعتمادية أو إضافة أو تطبيق يتضمن ثغرة أمنية.
نرفق ملفًا باسم log4j.properties مع jetty من أجل الإضافات (plugins) التي تُضمِّن log4j. هذا الملف يؤثر فقط في الإضافات التي تستخدم تسجيل log4j داخليًا. لقد أضفنا إجراء التخفيف الموصى به إلى ملف log4j.properties. الإضافات التي تُمكّن log4j ستعمل مع تعطيل الميزة المعرّضة للثغرات. وبما أننا لم نعثر على أي استخدام لـ log4j 2.x في أي مكان، فلا خطط لدينا لإصدار طارئ في هذا الوقت.