Пишут что JDK versions greater than 6u211, 7u201, 8u191, and 11.0.1 are not affected by the LDAP attack vector. In these versions com.sun.jndi.ldap.object.trustURLCodebase is set to false meaning JNDI cannot load a remote codebase using LDAP.
это как я не возмущаюсь что в скале в каком-то апдейте при обходе возвращать элементы из Set стало в другом порядке это неспецифицированное поведение, поэтому всё ок