いつの頃から知らないが，Tomcatには専用のセキュリティページがある．その中から最近の３つの脆弱性を紹介．
影響度(Critical/Important/Moderate/Lowの4段階)は，最初の2つはImportant，mod_jkの問題はCriticalなので要注意．
バージョンのHEADはSubversionの最新ソース(つまり未リリースということ)．

• Information disclosure CVE-2005-2090

複数のContent-lengthヘッダのあるリクエストを送信することにより，XSS・キャッシュの汚染・情報の開示などの問題を引き起こす．
影響のあるバージョン: 4.0.0〜4.0.6，4.1.0〜4.1.34，5.0.0〜5.0.HEAD，5.5.0〜5.5.22，6.0.0〜6.0.10
修正されたバージョン: 4.1.HEAD，5.5.23，6.0.HEAD
※リリースされているのは5.5.23のみ

• Directory traversal CVE-2007-0450

Directory traversal上の問題があり，公開していないコンテキスト(/managerとか)にApache経由でアクセスできてしまう．
影響のあるバージョン: 4.0.0〜4.0.6，4.1.0〜4.1.34，5.0.0〜5.0.30，5.5.0〜5.5.21，6.0.0〜6.0.9
修正されたバージョン: 4.1.HEAD，5.0.HEAD，5.5.22，6.0.10

• Arbitary code execution and denial of service CVE-2007-0774

JK ConnectorのURL処理にバッファオーバフローの問題．悪意のあるコード実行やDOSの危険性あり．
影響のあるバージョン: JK 1.2.19〜1.2.20．Tomcat4.1.34と5.5.20のソースにバンドルされていた
修正されたバージョン: JK 1.2.21

http://tomcat.apache.org/security.html
http://tomcat.apache.org/download-60.cgi
http://tomcat.apache.org/download-55.cgi
http://tomcat.apache.org/download-41.cgi
http://tomcat.apache.org/download-connectors.cgi