Ну это уже не смешно. Найдена новая RCE уязвимость CVE-2021-44832 в Log4j версии 2.17.0, 6.6 баллов по шкале CVSS.
Эксплуатация уязвимости требует локального доступа для внесения необходимых изменений в конфигурацию. Уязвимость затрагивает лишь компонент log4j-core. Сервисы на базе компонента log4j-api уязвимости не подвержены.
Для устранения уязвимости следует обновить библиотеку до версии 2.17.1 (Java 8), 2.12.4 (Java 7) и 2.3.2 (Java 6).
Может, не делать обновление, а подождать появление следующей уязвимости?
