Tomcat 7 已经发布很久了，也曾试用过，工作正常，配置也简单。新版本改进了很多，但为了不影响以前业务的正常运行，还是习惯使用Tomcat 6

Tomcat 6.X 和 JDK 6.0X版本的结合，一直工作的很好，最近有朋友在测试Tomcat 7 和JDK 6u17版本的时候，会导致运行崩溃，工作不正常。

查看日志，显示内存泄漏严重，陷入死循环，我的猜想是：

1、Tomcat 7要求的JDK版本要 JDK 7.0X以上吧，在测试Tomcat 7时，我采用的是 JDK的高版本，这样工作就正常。
2、程序写法不正常，导致请求异常。

另外，我查找了相关资料，Tomcat 7.0.0 ~ 7.0.27 Tomcat 6.0.0 ~ 6.0.35 存在安全漏洞，以下是相关说明，如果有使用到一下版本的友友，可以尝试更新下Tomcat版本。

原文：

Apache 基金会成员 Mark Thomas 今天在邮件列表中公布了 Tomcat 中新发现的 3 个安全漏洞。

　　1.  

　　等级：严重

　　受影响版本：

• Tomcat 7.0.0 ~ 7.0.27
• Tomcat 6.0.0 ~ 6.0.35

　　描述：

　　当使用 NIO 连接器，并启用了 sendfile 和 HTTPS 时，如果客户端断开连接，可能会陷入一个无限循环，导致拒绝服务。

　　解决方法：

• Tomcat 7.0.x 用户升级至 7.0.28 或更新版本
• Tomcat 6.0.x 用户升级至 6.0.36 或更新版本

　　2.  

　　等级：严重

　　受影响版本：

• Tomcat 7.0.0 ~ 7.0.29
• Tomcat 6.0.0 ~ 6.0.35
• 早期版本也可能受影响

　　描述：

　　当使用 FORM 身份验证时，如果一些组件在调用 FormAuthenticator#authenticate ()之前调用 request.setUserPrincipal ()，则可以在 FORM 验证器中通过在 URL 尾部附加上“/j_security_check”来绕过安全约束检查。

　　解决方法：

• Tomcat 7.0.x 用户升级至 7.0.30 或更新版本
• Tomcat 6.0.x 用户升级至 6.0.36 或更新版本

　　3.  

　　等级：严重

　　受影响版本：

• Tomcat 7.0.0 ~ 7.0.31
• Tomcat 6.0.0 ~ 6.0.35

　　描述：

　　如果请求一个受保护的资源，而在请求中没有会话 ID，则可以绕过预防 CSRF 过滤器。

　　解决方法：

• Tomcat 7.0.x 用户升级至 7.0.32 或更新版本
• Tomcat 6.0.x 用户升级至 6.0.36 或更新版本