关键漏洞信息 漏洞标题 Half-shutdown of socket during TLS handshake may result in spin loop on opposite side 影响版本 fs2-io (Scala) - 受影响版本: - 已修复版本: 严重性 CVSS v3 基础指标 - 攻击向量: Network - 攻击复杂度: Low - 所需权限: None - 用户交互: None - 范围: Unchanged - 机密性影响: None - 完整性影响: None - 可用性影响: Low CVE ID: CVE-2025-58369 描述与影响 当使用 包在 JVM 上建立 TLS 会话时,如果连接的一端关闭写操作而对端仍在等待更多数据以完成 TLS 握手,则对端将在套接字读取上陷入自旋循环,完全占用 CPU。这种 CPU 占用将持续到整个连接关闭。 此问题可能被用于对基于 fs2 的服务器进行拒绝服务攻击,例如通过打开许多连接并将它们置于半关闭状态。 修复措施 在 和 中已修复。 绕过方法 无绕过方法。 更多信息 如有任何疑问或评论,请联系 Typelevel Security Team.