Apache Tomcat (http://tomcat.apache.org/) 5  версии ниже 5.5.22 и Apache Tomcat 6 ниже 6.0.10 при использовании совместно с apache модулями mod_proxy, mod_rewrite или mod_jk подвержен уязвимости (http://www.securiteam.com/unixfocus/5JP0E1FKUK.html) поволяющей перейти к содержимому вышестоящей директории путем указания в пути конструкции "/\../".

URL: http://www.securiteam.com/unixfocus/5JP0E1FKUK.html
Новость: http://www.opennet.me/opennews/art.shtml?num=10143

• Выход за пределы текущей директории в Apache Tomcat,MegareeZ, 20:04 , 16-Мрт-07
• Выход за пределы текущей директории в Apache Tomcat,dev, 14:55 , 18-Мрт-07

Ннезаю про что это вы тут чистой вожы провокация у меня указан docbase в  <Context>; manager в tomcat-users.xml не включен и нефига нет такого бага Tomcat 5.5.17 Fedora Core 5 rpm

Тут речь о том, что, к примеру, у нас есть (как в дефолтной инсталляции) каталог webapps, в нем jsp-examples и servlets-examples. Причем обращение с фронт-энда к Томкету идет по протоколу jk (обычная ситуация). Пусть мы закрыли по каким-то своим соображениям доступ к servlets-examples на фронт-энде. Тогда при обращении по хитрому УРЛу http://host/jsp-examples/\../servlets-examples злодеи смогут все равно на него попасть.

Но у меня не получилось это воспроизвести (5.5.12) - сразу получаю редирект на http://host/servlets-examples. Может, фронт-энд (Апач) сам разбирается?