I2P는 어제 공개된 log4j 제로데이 취약점(CVE-2021-44228)의 영향을 받지 않습니다. I2P는 로깅에 log4j를 사용하지 않지만, 종속성에서 log4j 사용 여부를 검토할 필요가 있었고, 특히 Jetty를 중점적으로 확인했습니다. 해당 검토에서는 어떠한 취약점도 발견되지 않았습니다.
또한 우리의 모든 플러그인을 확인하는 것도 중요했다. 플러그인은 log4j를 포함한 자체 로깅 시스템을 가져올 수 있다. 우리는 대부분의 플러그인이 log4j를 사용하지 않는다는 것을 확인했으며, log4j를 사용하는 플러그인의 경우에도 취약한 버전을 사용하지 않았음을 확인했다.
취약한 의존성, 플러그인 또는 앱은 발견되지 않았습니다.
우리는 log4j를 사용하는 플러그인을 위해 jetty와 함께 log4j.properties 파일을 번들로 포함하고 있습니다. 이 파일은 내부적으로 log4j 로깅을 사용하는 플러그인에만 영향을 미칩니다. 우리는 권장되는 대응책을 log4j.properties 파일에 반영했습니다. log4j를 활성화하는 플러그인은 취약한 기능이 비활성화된 상태로 동작합니다. 현재로서는 log4j 2.x 사용 흔적을 어디에서도 찾지 못했기 때문에, 긴급 릴리스를 할 계획이 없습니다.