I2P कल प्रकाशित log4j 0-Day भेद्यता (CVE-2021-44228) से प्रभावित नहीं है। I2P लॉगिंग के लिए log4j का उपयोग नहीं करता है, हालांकि हमें अपनी निर्भरताओं में log4j के उपयोग की समीक्षा भी करनी पड़ी, विशेषकर jetty में। इस समीक्षा में कोई भेद्यता सामने नहीं आई।
हमारे सभी प्लगइन्स की जाँच करना भी महत्वपूर्ण था। प्लगइन्स अपने स्वयं के लॉगिंग सिस्टम ला सकते हैं, जिनमें log4j भी शामिल है। हमने पाया कि अधिकांश प्लगइन्स log4j का उपयोग नहीं करते, और जो करते भी हैं, वे log4j के किसी भेद्य संस्करण का उपयोग नहीं करते थे।
हमने किसी भी निर्भरता, प्लगइन या ऐप को भेद्य नहीं पाया।
हम log4j को शामिल करने वाले प्लगइन्स के लिए jetty के साथ एक log4j.properties फ़ाइल बंडल करते हैं। यह फ़ाइल केवल उन प्लगइन्स पर प्रभाव डालती है जो आंतरिक रूप से log4j लॉगिंग का उपयोग करते हैं। हमने अनुशंसित mitigation (शमन उपाय) को log4j.properties फ़ाइल में कमिट (commit) कर दिया है। जो प्लगइन्स log4j को सक्षम करते हैं, वे कमजोर फ़ीचर निष्क्रिय रहने के साथ चलेंगे। चूँकि हमें कहीं भी log4j 2.x का उपयोग नहीं मिला है, इसलिए इस समय हमारे पास आपातकालीन रिलीज़ करने की कोई योजना नहीं है।