I2P не затронут уязвимостью нулевого дня в log4j, опубликованной вчера (CVE-2021-44228). I2P не использует log4j для логирования, однако нам также нужно было проверить наши зависимости на предмет использования log4j, особенно jetty. Эта проверка не выявила никаких уязвимостей.
Также было важно проверить все наши плагины. Плагины могут включать собственные системы логирования, включая log4j. Мы выяснили, что большинство плагинов также не используют log4j, а те, которые используют, не использовали уязвимую версию log4j.
Мы не обнаружили никаких уязвимых зависимостей, плагинов или приложений.
Мы поставляем файл log4j.properties вместе с jetty для плагинов, которые подключают log4j. Этот файл влияет только на плагины, которые используют логирование log4j внутри себя. Мы внесли рекомендованную меру по снижению риска в файл log4j.properties. Плагины, которые включают log4j, будут работать с отключённой уязвимой функцией. Поскольку мы не обнаружили использования log4j 2.x где-либо, у нас нет планов выпускать экстренный релиз в настоящее время.