(via 回り道日記)
関連して「tomcat4.xにセキュリティホール？直せよ。」ってエントリを見つけた。

これテストケースの設計含めて保証するのは難しいし、そういうところをどうフォローするか？ってのがプロダクトを公開するプロジェクトの質ってものじゃないんでしょうかね。

OSSを使うのは自己責任だから「直せないなら使うな」だとボクは思います。
よってプロジェクトとかコミュニティの質とかは関係ないと思いますし
今回の対処策(Tomcat5にバージョンアップ)に不満なユーザたちが
集まってTomcat4のソースコードを直せば良いんじゃないですかね？
ちなみに開発者へ「直せよ」はTomcatのdeveloperのMLにメールをすれば？