I2P 不受 log4j 漏洞影响

I2P 不受昨日披露的 log4j 零日漏洞（CVE-2021-44228）影响。I2P 并未使用 log4j 进行日志记录，不过我们也需要审查我们的依赖项中是否存在对 log4j 的使用，尤其是 jetty。此次审查未发现任何漏洞。

检查我们所有的插件同样很重要。插件可能会引入它们自己的日志系统，包括 log4j。我们发现，大多数插件也不使用 log4j，而那些确实使用了 log4j 的插件所用的也不是易受攻击的版本。

我们尚未发现任何存在漏洞的依赖项、插件或应用程序。

我们为引入 log4j 的插件在 jetty 中捆绑了一个 log4j.properties 文件。该文件仅对在内部使用 log4j 日志记录的插件生效。我们已将推荐的缓解措施提交到 log4j.properties 文件中。启用 log4j 的插件将在禁用存在漏洞的功能的情况下运行。由于我们未在任何地方发现 log4j 2.x 的使用，目前没有进行紧急发布的计划。