В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости» » Интернет технологии
sitename
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
 Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
 Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
 В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
 «Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
«Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
 Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
 Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
 Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
 Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
 Масштабный взлом Rainbow Six Siege привел к отключению серверов, банам и раздаче внутриигровой валюты - «Новости»
Масштабный взлом Rainbow Six Siege привел к отключению серверов, банам и раздаче внутриигровой валюты - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»

✔В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»

05 апреля 2025 512 Добавления стилей / Вёрстка / Преимущества стилей / Изображения / Новости / Отступы и поля 0

Все версии Apache Parquet до 1.15.0 включительно подвержены критической уязвимости удаленного выполнения кода (RCE), которая набрала 10 баллов из 10 возможных по шкале CVSS.



Apache Parquet представляет собой бинарный, колоночно-ориентированный формат хранения данных, изначально разработанный для экосистемы Hadoop. Он широко применяется в экосистеме разработки и анализа данных, включая big data платформы и облачные сервисы AWS, Amazon, Google и Azure. Среди крупных компаний, использующих Parquet, можно перечислить Netflix, Uber, Airbnb и LinkedIn.



Сообщается, что проблема связана с десериализацией недоверенных данных и позволяет злоумышленнику получить полный контроль над уязвимой системой при помощи специально подготовленного файла Parquet.


То есть для эксплуатации этого бага атакующему придется убедить жертву импортировать специально созданный файл Parquet. В результате хакер сможет похитить и изменить данные, нарушить работу сервисов или развернуть вредоносную полезную нагрузку (например, вымогательское ПО).


Уязвимость была обнаружена специалистом компании Amazon, получила идентификатор CVE-2025-30065 и была устранена в составе Apache Parquet 1.15.1.


«Парсинг схем в модуле parquet-avro в Apache Parquet 1.15.0 и предыдущих версиях позволяет злоумышленникам выполнить произвольный код, — предупреждает бюллетень, опубликованный на Openwall. — Пользователям рекомендуется обновиться до версии 1.15.1, в которой проблема устранена».


В отдельном бюллетене безопасности, опубликованном экспертами Endor Labs, риски от эксплуатации CVE-2025-30065 обозначены более четко. Так, специалисты предупреждают, что проблема может повлиять на любые пайплайны и аналитические системы, которые импортируют файлы Parquet. Причем риск для файлов, полученных из внешних источников, очень велик.


В Endor Labs полагают, что уязвимость появилась в версии Parquet 1.8.0, хотя могут быть затронуты и более ранние версии.


Если немедленное обновление до Apache Parquet 1.15.1 по каким-то причинам невозможно, рекомендуется избегать любых недоверенных файлов Parquet и тщательно проверять их перед обработкой.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Все версии Apache Parquet до 1.15.0 включительно подвержены критической уязвимости удаленного выполнения кода (RCE), которая набрала 10 баллов из 10 возможных по шкале CVSS. Apache Parquet представляет собой бинарный, колоночно-ориентированный формат хранения данных, изначально разработанный для экосистемы Hadoop. Он широко применяется в экосистеме разработки и анализа данных, включая big data платформы и облачные сервисы AWS, Amazon, Google и Azure. Среди крупных компаний, использующих Parquet, можно перечислить Netflix, Uber, Airbnb и LinkedIn. Сообщается, что проблема связана с десериализацией недоверенных данных и позволяет злоумышленнику получить полный контроль над уязвимой системой при помощи специально подготовленного файла Parquet. То есть для эксплуатации этого бага атакующему придется убедить жертву импортировать специально созданный файл Parquet. В результате хакер сможет похитить и изменить данные, нарушить работу сервисов или развернуть вредоносную полезную нагрузку (например, вымогательское ПО). Уязвимость была обнаружена специалистом компании Amazon, получила идентификатор CVE-2025-30065 и была устранена в составе Apache Parquet 1.15.1. «Парсинг схем в модуле parquet-avro в Apache Parquet 1.15.0 и предыдущих версиях позволяет злоумышленникам выполнить произвольный код, — предупреждает бюллетень, опубликованный на Openwall. — Пользователям рекомендуется обновиться до версии 1.15.1, в которой проблема устранена». В отдельном бюллетене безопасности, опубликованном экспертами Endor Labs, риски от эксплуатации CVE-2025-30065 обозначены более четко. Так, специалисты предупреждают, что проблема может повлиять на любые пайплайны и аналитические системы, которые импортируют файлы Parquet. Причем риск для файлов, полученных из внешних источников, очень велик. В Endor Labs полагают, что уязвимость появилась в версии Parquet 1.8.0, хотя могут быть затронуты и более ранние версии. Если немедленное обновление до Apache Parquet 1.15.1 по каким-то причинам невозможно, рекомендуется избегать любых недоверенных файлов Parquet и тщательно проверять их перед обработкой.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: