<div dir="auto">Has anyone heard of patches beyond 2.17.0?   I’ve started removing dependencies on log4j that didn’t exist in reality.   That’s what’s weird, one attaches log4j to projects that don’t even need it.   That’s how pervasive log4j is.</div><div dir="auto"><br></div><div dir="auto">John </div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Dec 16, 2021 at 3:35 PM John Carlson <<a href="mailto:yottzumm@gmail.com">yottzumm@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">Upgrades for previous patch of log4j (2.15.0) had a vulnerability.  Upgrade to 2.16.0 or 2.12.2.<div dir="auto"><br></div><div dir="auto">Urgh!   From YouTube.</div><div dir="auto"><br></div><div dir="auto">Here we go again!</div>
</blockquote></div></div>