Apache

CVE-2025-30065 として追跡されている最大深刻度の Apache Parquet 脆弱性に対する概念実証のエクスプロイト・ツールが公開され、脆弱性のあるサーバーを簡単に見つけることができるようになった。

このツールは、既存の複数のPoCが脆弱であるか、完全に機能しないことを発見した後に、この脆弱性を調査したF5 Labsの研究者によってリリースされました。

このツールは、CVE-2025-30065の実用的な悪用可能性を証明するものであり、管理者が環境を評価し、サーバーを保護するのにも役立つ。

Apache Parquetは、効率的なデータ処理のために設計されたオープンソースのカラム型ストレージフォーマットで、ビッグデータプラットフォームやデータエンジニアリングおよび分析に携わる組織で広く使用されている。

この欠陥は、アマゾンの研究者であるKeyi Li氏による先行発見に続き、2025年4月1日に初めて公表された。この欠陥は、Apache Parquet 1.15.0までのすべてのバージョンに影響を与えるリモートコード実行として分類されました。

技術的な観点から見ると、CVE-2025-30065は、Apache Parquet Javaのparquet-avroモジュールにおけるデシリアライゼーションの欠陥で、Parquetファイルに埋め込まれたAvroデータを読み込む際に、ライブラリがインスタンス化できるJavaクラスを制限していません。

2025年4月2日、Endor Labsは、悪用のリスクと、外部ポイントからParquetファイルをインポートするシステムへの潜在的な影響について警告する記事を発表しました。

F5 Labsによるその後の分析によると、この欠陥は完全なデシリアライゼーションRCEではないが、脆弱なシステムから攻撃者が制御するサーバーにネットワークリクエストを行う場合のように、クラスがインスタンス化中に副作用を持つ場合に悪用される可能性がある。

しかし研究者らは、実用的な悪用は困難であり、CVE-2025-30065の攻撃者にとっての価値は限定的であると結論づけている。

「ParquetとAvroは広く使用されているが、この問題は特定の状況を必要とし、一般的にはそれほど可能性は高くない

「それでも、このCVEは、攻撃者がJavaオブジェクトのインスタンス化をトリガーすることを可能にするだけであり、その後、攻撃者にとって有用な副作用を持つ必要があります。

悪用の可能性は低いものの、研究者は、組織によっては外部の、多くの場合検証されていないソースからParquetファイルを処理しているため、環境によってはリスクが大きいことを認めています。

このため、F5 Labsは、javax.swing.JEditorKitのインスタンス化を介してHTTP GETリクエストをトリガーする “canary exploit “ツール(GitHubで入手可能)を作成し、ユーザーが暴露を検証できるようにした。

このツールを使用するだけでなく、Apache Parquetのバージョンを15.1.1以降にアップグレードし、デシリアライズを許可するパッケージを制限するために’org.apache.parquet.avro.SERIALIZABLE_PACKAGES’を設定することを推奨する。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Red Report 2025

攻撃の93%を支えるMITRE ATT&CK©テクニックのトップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。