В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости» » Интернет технологии
sitename
Kingston посоветовала закупаться ОЗУ и SSD, или будет поздно — NAND подорожала на 246 % и это не предел - «Новости сети»
Kingston посоветовала закупаться ОЗУ и SSD, или будет поздно — NAND подорожала на 246 % и это не предел - «Новости сети»
 Arctic выпустила термопасту MX-7 — её не нужно размазывать по процессору - «Новости сети»
Arctic выпустила термопасту MX-7 — её не нужно размазывать по процессору - «Новости сети»
 Разработка чересчур реалистичного шутера Unrecord вышла на новый уровень благодаря Tencent - «Новости сети»
Разработка чересчур реалистичного шутера Unrecord вышла на новый уровень благодаря Tencent - «Новости сети»
 Критический успех: глава Larian наконец раскрыл продажи Baldur’s Gate 3 - «Новости сети»
Критический успех: глава Larian наконец раскрыл продажи Baldur’s Gate 3 - «Новости сети»
 Госдума обязала все домовые чаты в России переехать в мессенджер Max - «Новости сети»
Госдума обязала все домовые чаты в России переехать в мессенджер Max - «Новости сети»
 Первую партию трёхстворчатых смартфонов Samsung Galaxy Z TriFold смели за несколько минут - «Новости сети»
Первую партию трёхстворчатых смартфонов Samsung Galaxy Z TriFold смели за несколько минут - «Новости сети»
 Распаковку смартфона OnePlus 15R опубликовали в преддверии анонса - «Новости сети»
Распаковку смартфона OnePlus 15R опубликовали в преддверии анонса - «Новости сети»
 «Я капитан Шепард, и это моя самая ожидаемая игра»: грандиозный ролевой боевик Exodus в духе Mass Effect не выйдет в 2026 году - «Новости сети»
«Я капитан Шепард, и это моя самая ожидаемая игра»: грандиозный ролевой боевик Exodus в духе Mass Effect не выйдет в 2026 году - «Новости сети»
 «Дорогая, у нас есть Cyberpunk 2077 дома»: дебютный трейлер ролевого экшена No Law смутил игроков своей вторичностью - «Новости сети»
«Дорогая, у нас есть Cyberpunk 2077 дома»: дебютный трейлер ролевого экшена No Law смутил игроков своей вторичностью - «Новости сети»
 Учёные обнаружили, что ИИ-модели с трудом понимают разницу между верой и знанием - «Новости сети»
Учёные обнаружили, что ИИ-модели с трудом понимают разницу между верой и знанием - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»

✔В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»

05 апреля 2025 511 Добавления стилей / Вёрстка / Преимущества стилей / Изображения / Новости / Отступы и поля 0

Все версии Apache Parquet до 1.15.0 включительно подвержены критической уязвимости удаленного выполнения кода (RCE), которая набрала 10 баллов из 10 возможных по шкале CVSS.



Apache Parquet представляет собой бинарный, колоночно-ориентированный формат хранения данных, изначально разработанный для экосистемы Hadoop. Он широко применяется в экосистеме разработки и анализа данных, включая big data платформы и облачные сервисы AWS, Amazon, Google и Azure. Среди крупных компаний, использующих Parquet, можно перечислить Netflix, Uber, Airbnb и LinkedIn.



Сообщается, что проблема связана с десериализацией недоверенных данных и позволяет злоумышленнику получить полный контроль над уязвимой системой при помощи специально подготовленного файла Parquet.


То есть для эксплуатации этого бага атакующему придется убедить жертву импортировать специально созданный файл Parquet. В результате хакер сможет похитить и изменить данные, нарушить работу сервисов или развернуть вредоносную полезную нагрузку (например, вымогательское ПО).


Уязвимость была обнаружена специалистом компании Amazon, получила идентификатор CVE-2025-30065 и была устранена в составе Apache Parquet 1.15.1.


«Парсинг схем в модуле parquet-avro в Apache Parquet 1.15.0 и предыдущих версиях позволяет злоумышленникам выполнить произвольный код, — предупреждает бюллетень, опубликованный на Openwall. — Пользователям рекомендуется обновиться до версии 1.15.1, в которой проблема устранена».


В отдельном бюллетене безопасности, опубликованном экспертами Endor Labs, риски от эксплуатации CVE-2025-30065 обозначены более четко. Так, специалисты предупреждают, что проблема может повлиять на любые пайплайны и аналитические системы, которые импортируют файлы Parquet. Причем риск для файлов, полученных из внешних источников, очень велик.


В Endor Labs полагают, что уязвимость появилась в версии Parquet 1.8.0, хотя могут быть затронуты и более ранние версии.


Если немедленное обновление до Apache Parquet 1.15.1 по каким-то причинам невозможно, рекомендуется избегать любых недоверенных файлов Parquet и тщательно проверять их перед обработкой.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Все версии Apache Parquet до 1.15.0 включительно подвержены критической уязвимости удаленного выполнения кода (RCE), которая набрала 10 баллов из 10 возможных по шкале CVSS. Apache Parquet представляет собой бинарный, колоночно-ориентированный формат хранения данных, изначально разработанный для экосистемы Hadoop. Он широко применяется в экосистеме разработки и анализа данных, включая big data платформы и облачные сервисы AWS, Amazon, Google и Azure. Среди крупных компаний, использующих Parquet, можно перечислить Netflix, Uber, Airbnb и LinkedIn. Сообщается, что проблема связана с десериализацией недоверенных данных и позволяет злоумышленнику получить полный контроль над уязвимой системой при помощи специально подготовленного файла Parquet. То есть для эксплуатации этого бага атакующему придется убедить жертву импортировать специально созданный файл Parquet. В результате хакер сможет похитить и изменить данные, нарушить работу сервисов или развернуть вредоносную полезную нагрузку (например, вымогательское ПО). Уязвимость была обнаружена специалистом компании Amazon, получила идентификатор CVE-2025-30065 и была устранена в составе Apache Parquet 1.15.1. «Парсинг схем в модуле parquet-avro в Apache Parquet 1.15.0 и предыдущих версиях позволяет злоумышленникам выполнить произвольный код, — предупреждает бюллетень, опубликованный на Openwall. — Пользователям рекомендуется обновиться до версии 1.15.1, в которой проблема устранена». В отдельном бюллетене безопасности, опубликованном экспертами Endor Labs, риски от эксплуатации CVE-2025-30065 обозначены более четко. Так, специалисты предупреждают, что проблема может повлиять на любые пайплайны и аналитические системы, которые импортируют файлы Parquet. Причем риск для файлов, полученных из внешних источников, очень велик. В Endor Labs полагают, что уязвимость появилась в версии Parquet 1.8.0, хотя могут быть затронуты и более ранние версии. Если немедленное обновление до Apache Parquet 1.15.1 по каким-то причинам невозможно, рекомендуется избегать любых недоверенных файлов Parquet и тщательно проверять их перед обработкой.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: