漏洞详情

影响描述

在JVM上使用fs2-io的fs2.io.net.tls包建立TLS会话时，如果连接的一方在握手期间关闭写入，而对端正在等待更多数据来推进TLS握手，对端将在套接字读取上进入空转循环，完全占用一个CPU。这种CPU占用会持续到整个连接关闭。

这可能被用作对fs2-io驱动服务器的拒绝服务攻击——例如，通过建立多个连接并将它们置于半关闭状态。

注意：此问题影响基于ember的http4s服务器，因为ember使用fs2的TLS支持。

受影响版本

• co.fs2:fs2-io_2.12: < 2.5.13, >= 3.13.0-M1且< 3.13.0-M7, >= 3.0.0-M1且< 3.12.2
• co.fs2:fs2-io_2.13: < 2.5.13, >= 3.13.0-M1且< 3.13.0-M7, >= 3.0.0-M1且< 3.12.2
• co.fs2:fs2-io_3: < 2.5.13, >= 3.13.0-M1且< 3.13.0-M7, >= 3.0.0-M1且< 3.12.2

修复版本

• 2.5.13
• 3.12.2
• 3.13.0-M7

解决方案

已修复版本：fs2 3.12.2和3.13.0-M7。

临时解决方案

无可用临时解决方案。

技术信息

• CVSS评分：5.3（中危）
• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：无
• 用户交互：无
• 影响范围：可用性降低
• CWE分类：CWE-400（不受控制的资源消耗）

参考链接

• GHSA-rrw2-px9j-qffj
• typelevel/fs2#3590
• typelevel/fs2@46e2dc3
• typelevel/fs2@5c6c4c6
• https://github.com/typelevel/fs2/releases/tag/v3.12.2
• https://github.com/typelevel/fs2/releases/tag/v3.13.0-M7
• https://nvd.nist.gov/vuln/detail/CVE-2025-58369
• typelevel/fs2#3624
• typelevel/fs2@edf0c4f