Mark Rotteveel, desenvolvedor do driver Firebird JDBC Jaybird, confirmou que o Jaybird não depende do Log4j 2.

O Jaybird em si não depende do Log4j 2.x , portanto, não é diretamente afetado pelos CVEs Log4j 2 recentes (veja os riscos indiretos abaixo).

Por padrão, o Jaybird versões 3 ou superiores usam java.util.logging para registrar informações. O Jaybird 2.2 e anteriores (todos já descontinuados) têm uma dependência opcional do Log4j 1.x (que não é afetada pelos CVEs recentes). Ele só é usado quando for explicitamente incluído no caminho de classe e habilitado usando a propriedade do sistema FBLog4j ou org.firebirdsql.jdbc.useLog4j. Esta opção foi removida do Jaybird 3.

Riscos indiretos

Se você estiver redirecionando o registro para Log4j 2 (por exemplo, de java.util.logging ou usando uma implementação personalizada de org.firebirdsql.logging.Logger), você pode estar vulnerável. Se seus aplicativos estão usando Log4j 2, atualize para Log4j 2.17.0.