看到这个文章我没有实测过,但是看起来似乎是真的 :88:
CVE-2011-2204 Apache Tomcat信息泄漏
安全级别: 低 幸亏不是很“脸肿”哈
影响的版本:
Tomcat 7.0.0 to 7.0.16
Tomcat 6.0.0 to 6.0.32
Tomcat 5.5.0 to 5.5.33
漏洞描述:
当使用 MemoryUserDatabase (基于 tomcat-users.xml) 并通过 JMX 创建用户时,如果异常发生,那么在 JMX 的客户端上的错误提示将会包含用户的密码,这个错误信息同时也会写到 Tomcat 的日志文件中。

重现此漏洞的步骤:
Tomcat 安全团队很难重现这个问题,以至于他们不得不修改 Tomcat 源码,让它直接抛出一个异常出来。另外理论上,一个 OutOfMemoryError 会直接导致这个漏洞的发生。

解决的办法:
不通过 JMX 来管理 MemoryUserDatabase
使用摘要密码
限制 Tomcat 日志文件的访问
升级到 Tomcat 7.0.17, 6.0.33 or 5.5.34 或更新版本
打补丁:
7.0.x 补丁下载: http://svn.apache.org/viewvc?rev=1140070&view=rev
6.0.x 补丁下载: http://svn.apache.org/viewvc?rev=1140071&view=rev
5.5.x 补丁下载: http://svn.apache.org/viewvc?rev=1140072&view=rev

哈哈,其实我就不用这些东西,日志我还觉得费事呢! :89: