Apache Tomcat®セキュリティチームは、Tomcatに影響を与える各セキュリティ上の欠陥の深刻度を評価しています。一貫性を保つため、他の主要ベンダーが使用しているものと非常によく似た評価基準を採用しています。基本的に、この評価システムの目的は、「この脆弱性についてどの程度心配すべきか?」という問いに答えることです。
各欠陥に選択された評価は、すべてのアーキテクチャにおいて最悪のケースであることをご留意ください。特定の脆弱性が自身のシステムに与える正確な影響を判断するには、その欠陥に関する詳細を知るためにセキュリティアドバイザリを読んでいただく必要があります。
各脆弱性に与える影響度評価を決定するために、以下の記述を使用しています
「深刻 (Critical)」と評価された脆弱性は、リモートの攻撃者によってTomcatに任意のコードを実行させる(サーバーが動作しているユーザーとして、またはrootとして)可能性のあるものです。これらは、ワームによって自動的に悪用される可能性のある種類の脆弱性です。
「重要 (Important)」または「高 (High)」と評価された脆弱性は、データの侵害またはサーバーの可用性低下につながる可能性のあるものです。Tomcatの場合、これには、容易なリモートからのサービス拒否(攻撃に不釣り合いな、または永続的な影響を伴うもの)、コンテキストルート外の任意のファイルへのアクセス、あるいは制限や認証によって本来防止されるべきファイルへのアクセスを可能にする問題が含まれます。
大幅な緩和策があり、問題の影響が軽減される場合、その脆弱性は「中 (Moderate)」と評価される可能性が高いです。これは、その欠陥が一般的な設定に影響を与えない場合、あるいは広く使用されていない設定である場合、またはリモートユーザーが問題を悪用するために認証されている必要がある場合に当てはまります。Tomcatがインデックスファイルの代わりにディレクトリ一覧を表示できるようにする欠陥や、クロスサイトスクリプティングの問題がここに含まれます。
その他のすべてのセキュリティ上の欠陥は「低 (Low)」の影響と分類されます。この評価は、悪用が極めて困難であると見なされる問題、または悪用による影響が最小限である問題に対して使用されます。