Arai-Fortanix

**Nome do software vulnerável e versões afetadas** Versões do rustls anteriores à 0.21.11 Versões do rustls anteriores à 0.22.4 Versões do rustls anteriores à 0.23.5 **Descrição** A função `rustls::ConnectionCommon::complete io` pode entrar em um loop infinito dependendo da entrada de dados da rede. Ao usar um servidor rustls de bloqueio, se um cliente enviar uma mensagem `close notify` imediatamente após `client hello`, a função `complete io` do servidor entrará em um loop infinito. Essa vulnerabilidade pode ser explorada para causar um ataque de negação de serviço (DOS), no qual um servidor multithread não assíncrono que usa `rustls` pode ser atacado ao receber algumas solicitações como essa e deixar de processar as solicitações normais. **Recomendações** Para versões anteriores à 0.21.11, atualize para a versão 0.21.11 ou posterior. Para versões anteriores à 0.22.4, atualize para a versão 0.22.4 ou posterior. Para versões anteriores à 0.23.5, atualize para a versão 0.23.5 ou posterior. Como solução temporária, considere desativar a função `complete io` até que um patch esteja disponível. Restrinja o acesso aos tipos `rustls::Stream` e `rustls::StreamOwned` para minimizar o risco de exploração.