David Frankson

**Nome do software vulnerável e versões afetadas** Versões do Apache Tomcat de 8.5.0 a 8.5.63 Versões do Apache Tomcat de 9.0.0-M1 a 9.0.43 Versões do Apache Tomcat de 10.0.0-M1 a 10.0.2 **Descrição** O problema decorre da validação insuficiente de pacotes TLS recebidos. Quando configurado para usar NIO+OpenSSL ou NIO2+OpenSSL para TLS, um pacote especialmente criado pode acionar um loop infinito, resultando em uma negação de serviço. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço usando um pacote especialmente criado. **Recomendações** Para as versões 8.5.0 a 8.5.63 do Apache Tomcat, considere desativar o uso de NIO+OpenSSL ou NIO2+OpenSSL para TLS até que um patch esteja disponível. Para as versões 9.0.0-M1 a 9.0.43 do Apache Tomcat, considere desativar o uso de NIO+OpenSSL ou NIO2+OpenSSL para TLS até que um patch esteja disponível. Para as versões 10.0.0-M1 a 10.0.2 do Apache Tomcat, considere desativar o uso de NIO+OpenSSL ou NIO2+OpenSSL para TLS até que um patch esteja disponível. Como solução alternativa temporária, considere restringir o acesso à configuração de TLS para minimizar o risco de exploração.