已在 Apache Parquet Java 库中发现了一个严重漏洞,特别是在其 parquet-avro 模块中。
此漏洞被跟踪为 CVE-2025-30065,使系统面临潜在的远程代码执行 (RCE) 攻击。
它被评为严重,CVSS 评分为 10.0,表示严重性最高。根本原因被归类为不受信任数据的反序列化 (CWE-502)。
此漏洞会影响处理或导入 Parquet 文件的系统,尤其是从不受信任或外部来源获取的文件。
受影响的产品
根据 Openwall 报告,Apache Parquet Java 库版本 1.15.0 及更早版本中存在此问题。它是在 1.8.0 版本中引入的,使 1.15.0 之前的所有后续版本都容易受到攻击。
流行的大数据和分析框架以及利用 Parquet 库的自定义应用程序都会受到影响。以下是受影响版本和可用缓解措施的摘要:
产品/组件受影响的版本固定版本
Apache Parquet Java (parquet-avro)1.8.0 到 1.15.01.15.1
使用集成 Parquet 进行数据处理的框架(如 Apache Hadoop、Spark 或 Flink)的组织应优先尽快升级到修补后的版本。
漏洞详情和潜在影响
该漏洞源于 Parquet 文件中 Avro 架构元数据的解析不当。
具体来说,构建的 Parquet 文件可以利用 parquet-avro 模块的反序列化过程,允许攻击者在目标系统上执行任意代码。
风险:
远程代码执行 (RCE):攻击者可以完全控制易受攻击的系统。
数据泄露和篡改:敏感信息可能被访问、修改或窃取。
恶意软件部署:系统可能受到勒索软件、加密挖矿程序或其他恶意软件的威胁。
服务中断:利用此漏洞可能导致拒绝服务 (DoS) 或系统损坏。
受影响的系统可能会完全危及机密性、完整性和可用性,因此缓解是重中之重。
截至 2025 年 4 月,尚未报告该漏洞被积极利用。
但是,此漏洞的披露意味着攻击者可能随时开发漏洞。组织必须主动采取行动来保护其系统。
缓解措施和建议
为了解决此漏洞,强烈建议用户:
将库升级到版本 1.15.1,其中包含官方修复。
在应用更新之前,请避免处理不受信任的 Parquet 文件。
为了提供额外的预防措施,请实施沙盒或输入验证机制,以限制潜在恶意文件带来的风险。
免责声明:
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):Apache Parquet 允许远程执行代码漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论