关于tomcat版本的选择

前段时间接到了领导的任务，去帮客户重新安装一个tomcat。原因是tomcat有问题，客户托管在信息中心的应用被封了。领导指定要去安装tomcat 6.0.36的，去了安装完回来啦，就没事啦。
    前两天看iteye的时候才知道原因，Apache Tomcat发布了新的安全漏洞的问题，最后的解决办法是 Tomcat 7.0.x用户升级至7.0.32或更新版本
Tomcat 6.0.x用户升级至6.0.36或更新版本
 
   所列表的安全漏洞的问题分别是:

1.  拒绝服务漏洞（CVE-2012-4534）
 受影响版本：
Tomcat 7.0.0 ~ 7.0.27
 Tomcat 6.0.0 ~ 6.0.35
描述：
 当使用NIO连接器，并启用了sendfile和HTTPS时，如果客户端断开连接，可能会陷入一个无限循环，导致拒绝服务。
 

2.  绕过安全约束（CVE-2012-3546）
 受影响版本：
Tomcat 7.0.0 ~ 7.0.29
 Tomcat 6.0.0 ~ 6.0.35
早期版本也可能受影响
 描述：
 当使用FORM身份验证时，如果一些组件在调用FormAuthenticator#authenticate()之前调用request.setUserPrincipal()，
 则可以在FORM验证器中通过在URL尾部附加上“/j_security_check”来绕过安全约束检查。
 
3.  绕过预防CSRF（跨站点请求伪造）过滤器（CVE-2012-4431）
 受影响版本：
Tomcat 7.0.0 ~ 7.0.31
 Tomcat 6.0.0 ~ 6.0.35
描述：
 如果请求一个受保护的资源，而在请求中没有会话ID，则可以绕过预防CSRF过滤器。

 这些漏洞不是很清楚，但是知道最好是用tomcat 6.0.36和 tomcat7.0.32