exploitDog

GHSA-rrw2-px9j-qffj

Опубликовано: 05 сент. 2025

Источник: github

Github: Прошло ревью

CVSS3: 5.3

Описание

FS2 half-shutdown of socket during TLS handshake may result in spin loop on opposite side

Impact

When establishing a TLS session using fs2-io on the JVM using the fs2.io.net.tls package, if one side of the connection shuts down write while the peer side is awaiting more data to progress the TLS handshake, the peer side will spin loop on the socket read, fully utilizing a CPU. This CPU is consumed until the overall connection is closed.

This could be used as a denial of service attack on an fs2-io powered server -- for example, by opening many connections and putting them in a half-shutdown state.

Note: this issue impacts ember backed http4s servers with HTTPS as a result of ember using fs2's TLS support.

Patches

Fixed in fs2 3.12.2 and 3.13.0-M7.

Workarounds

No workarounds.

For more information

If you have any questions or comments about this advisory:

Open an issue. Contact the Typelevel Security Team.

Ссылки

Пакеты

Наименование

co.fs2:fs2-io_2.12

maven

Затронутые версииВерсия исправления

>= 3.0.0-M1, < 3.12.2

3.12.2

Наименование

co.fs2:fs2-io_2.12

maven

Затронутые версииВерсия исправления

>= 3.13.0-M1, < 3.13.0-M7

3.13.0-M7

Наименование

co.fs2:fs2-io_2.13

maven

Затронутые версииВерсия исправления

>= 3.0.0-M1, < 3.12.2

3.12.2

Наименование

co.fs2:fs2-io_2.13

maven

Затронутые версииВерсия исправления

>= 3.13.0-M1, < 3.13.0-M7

3.13.0-M7

Наименование

co.fs2:fs2-io_3

maven

Затронутые версииВерсия исправления

>= 3.0.0-M1, < 3.12.2

3.12.2

Наименование

co.fs2:fs2-io_3

maven

Затронутые версииВерсия исправления

>= 3.13.0-M1, < 3.13.0-M7

3.13.0-M7

Наименование

co.fs2:fs2-io_0.26

maven

Затронутые версииВерсия исправления

Отсутствует

Наименование

co.fs2:fs2-io_0.27

maven

Затронутые версииВерсия исправления

Отсутствует

Наименование

co.fs2:fs2-io_2.11

maven

Затронутые версииВерсия исправления

Отсутствует

Наименование

co.fs2:fs2-io_2.12.0-M4

maven

Затронутые версииВерсия исправления

Отсутствует

Наименование

co.fs2:fs2-io_2.12.0-RC1

maven

Затронутые версииВерсия исправления

Отсутствует

Наименование

co.fs2:fs2-io_2.12.0-M5

maven

Затронутые версииВерсия исправления

Отсутствует

Наименование

co.fs2:fs2-io_2.12.0-RC2

maven

Затронутые версииВерсия исправления

Отсутствует

Наименование

co.fs2:fs2-io_2.13.0-M5

maven

Затронутые версииВерсия исправления

Отсутствует

Наименование

co.fs2:fs2-io_2.12

maven

Затронутые версииВерсия исправления

< 2.5.13

2.5.13

Наименование

co.fs2:fs2-io_2.13

maven

Затронутые версииВерсия исправления

< 2.5.13

2.5.13

Наименование

co.fs2:fs2-io_3

maven

Затронутые версииВерсия исправления

< 2.5.13

2.5.13

EPSS

Процентиль: 33%

0.00132

Низкий

5.3 Medium

CVSS3

CVE ID

Дефекты

CWE-400

Связанные уязвимости

CVE-2025-58369

CVSS3: 5.3

nvd

5 месяцев назад

fs2 is a compositional, streaming I/O library for Scala. Versions up to and including 2.5.12, 3.0.0-M1 through 3.12.2, and 3.13.0-M1 through 3.13.0-M6 are vulnerable to denial of service attacks though TLS sessions using fs2-io on the JVM using the fs2.io.net.tls package. When establishing a TLS session, if one side of the connection shuts down `write` while the peer side is awaiting more data to progress the TLS handshake, the peer side will spin loop on the socket read, fully utilizing a CPU. The CPU is consumed until the overall connection is closed, potentially shutting down a fs2-io powered server. This issue is fixed in versions 2.5.13, 3.12.1, and 3.13.0-M7.

EPSS

Процентиль: 33%

0.00132

Низкий

5.3 Medium

CVSS3

CVE ID

Дефекты

CWE-400