Основы Интернет - технологий.

Все версии Apache Parquet до 1.15.0 включительно подвержены критической уязвимости удаленного выполнения кода (RCE), которая набрала 10 баллов из 10 возможных по шкале CVSS. Apache Parquet представляет собой бинарный, колоночно-ориентированный формат хранения данных, изначально разработанный для экосистемы Hadoop. Он широко применяется в экосистеме разработки и анализа данных, включая big data платформы и облачные сервисы AWS, Amazon, Google и Azure. Среди крупных компаний, использующих Parquet, можно перечислить Netflix, Uber, Airbnb и LinkedIn. Сообщается, что проблема связана с десериализацией недоверенных данных и позволяет злоумышленнику получить полный контроль над уязвимой системой при помощи специально подготовленного файла Parquet. То есть для эксплуатации этого бага атакующему придется убедить жертву импортировать специально созданный файл Parquet. В результате хакер сможет похитить и изменить данные, нарушить работу сервисов или развернуть вредоносную полезную нагрузку (например, вымогательское ПО). Уязвимость была обнаружена специалистом компании Amazon, получила идентификатор CVE-2025-30065 и была устранена в составе Apache Parquet 1.15.1. «Парсинг схем в модуле parquet-avro в Apache Parquet 1.15.0 и предыдущих версиях позволяет злоумышленникам выполнить произвольный код, — предупреждает бюллетень, опубликованный на Openwall. — Пользователям рекомендуется обновиться до версии 1.15.1, в которой проблема устранена». В отдельном бюллетене безопасности, опубликованном экспертами Endor Labs, риски от эксплуатации CVE-2025-30065 обозначены более четко. Так, специалисты предупреждают, что проблема может повлиять на любые пайплайны и аналитические системы, которые импортируют файлы Parquet. Причем риск для файлов, полученных из внешних источников, очень велик. В Endor Labs полагают, что уязвимость появилась в версии Parquet 1.8.0, хотя могут быть затронуты и более ранние версии. Если немедленное обновление до Apache Parquet 1.15.1 по каким-то причинам невозможно, рекомендуется избегать любых недоверенных файлов Parquet и тщательно проверять их перед обработкой.