I2P 不受昨天公布的 log4j 0-Day 漏洞的影响。 CVE-2021-44228。I2P没有使用log4j做日志，但是我们也 需要检查我们对log4j的依赖性，尤其是jetty。这次 审查没有发现任何漏洞。

检查我们所有的插件也很重要。插件可能会使用他们 自己的日志系统，包括log4j。我们发现，大多数插件也不使用 log4j，而那些使用的插件也没有使用有漏洞的log4j版本。

我们还没有发现任何依赖、插件或应用程序有漏洞。

对于引入log4j的插件，我们将log4j.properties文件与jetty捆绑。这个 文件只对内部使用log4j日志的插件有影响。我们已经 对log4j.properties文件进行了推荐的缓解。插件如果 启用log4j的插件在运行时将禁用该脆弱功能。由于我们无法找到任何 使用log4j 2.x的地方，我们没有计划在这个时候做一个紧急发布