章
目
录
近日,安全研究人员在Apache Parquet的Java库中发现了一个极其严重的远程代码执行(RCE)漏洞,编号为CVE-2025-30065 。该漏洞在通用漏洞评分系统(CVSS)中获得了最高的10.0分评级,这意味着它可能会给全球众多数据分析系统带来巨大威胁。
一、漏洞详情
这个漏洞主要存在于parquet – avro模块中,是由于不安全的反序列化操作导致的。从技术角度讲,它被归类为“对不可信数据的反序列化”(CWE – 502)。简单来说,就是在解析Avro模式时,存在不安全的类加载问题。这使得攻击者有了可乘之机,他们可以精心构造恶意的Parquet文件,当目标系统处理这些特制文件时,恶意代码就会被注入并执行。而且,利用这个漏洞进行攻击,不需要用户进行交互,也不需要身份验证。攻击者只要想办法让目标系统在数据处理过程中接触到恶意的Parquet文件,就能发动攻击。
该漏洞早在1.8.0版本就被引入了,但所有历史版本都需要进行仔细审查。目前,这个漏洞影响所有1.15.0及以下版本的Apache Parquet Java库。
二、漏洞的影响
(一)波及的系统与平台
Apache Parquet在大数据领域应用广泛,此次漏洞影响了众多大数据环境,像Hadoop、Spark和Flink这些常见的大数据框架,以及AWS、Google和Azure等云平台上的分析系统都未能幸免。不少大型公司,比如Netflix、Uber、Airbnb和LinkedIn,在其数据基础设施中都使用了Parquet。一旦这些公司的系统受到该漏洞的攻击,后果不堪设想。
(二)潜在的危害
如果这个漏洞被攻击者成功利用,将会引发一系列严重问题:
- 系统控制权丧失:攻击者能够完全掌控受影响的系统,这意味着他们可以为所欲为,对系统进行任意操作。
- 数据安全受损:敏感数据面临被窃取或篡改的风险,无论是用户信息、商业机密还是重要的业务数据,都可能落入攻击者手中。
- 恶意软件入侵:攻击者可能会部署勒索软件或其他恶意程序,进一步破坏系统,给企业带来经济损失。
- 业务运营中断:关键的数据服务可能会遭到破坏,导致业务无法正常开展,影响企业的正常运营。
正如Endor Labs在安全公告中所警告的那样,那些导入Parquet文件的数据管道和分析系统,尤其是处理来自外部或不可信来源文件的系统,极有可能受到该漏洞的影响。系统安全的保密性、完整性和可用性都面临着极大的风险。
三、应对措施
面对如此严峻的安全形势,Apache Software Foundation迅速做出反应,发布了1.15.1版本来修复这个漏洞。对于使用Apache Parquet Java库的组织来说,需要立即采取以下措施来保障系统安全:
- 及时升级依赖:尽快将所有Apache Parquet Java依赖项升级到1.15.1版本,这是最直接有效的解决办法。新的版本修复了漏洞,能够防止攻击者利用该漏洞进行攻击。
- 严格验证文件:对于那些暂时无法完成更新的系统,要加强对Parquet文件的管理。尤其是对来自外部来源的文件,必须进行严格的验证,确保文件的安全性。
- 加强监控与记录:强化对处理Parquet文件系统的监控,详细记录相关操作日志。这样一来,一旦有潜在的攻击尝试,能够及时发现并采取应对措施。
- 审查工作流程:仔细审查数据处理工作流程,全面排查潜在的安全暴露点。通过这种方式,可以提前发现并解决可能存在的安全隐患,降低被攻击的风险。
截至2025年4月4日,虽然还没有该漏洞在实际中被利用的确认报告,但安全专家提醒,鉴于该漏洞的严重性以及已经公开的情况,随时可能出现攻击尝试。研究人员也表示,虽然只有在导入恶意Parquet文件时漏洞才会被利用,但这一风险依然不可小觑。因此,所有在数据基础设施中使用Apache Parquet的组织都必须高度重视,立即行动起来,保障系统和数据的安全。
