Apache Parket Java’da, saldırganların özel hazırlanmış parke dosyaları aracılığıyla keyfi kod yürütmesine izin verebilecek yeni bir kritik güvenlik açığı açıklandı.
CVE-2025-46762 olarak izlenen güvenlik açığı, Apache Parket Java’nın tüm sürümlerini 1.15.1 ile etkiler.
Apache Parket, büyük veri ekosistemlerinde verimli veri depolama ve alım için tasarlanmış popüler bir sütun depolama dosyası biçimidir.
.png
)
Apache Hadoop, Spark ve Flink gibi işleme çerçeveleri ile yaygın olarak kullanılır ve bu güvenlik açığını veri analizi altyapılarında potansiyel olarak yaygın hale getirir.
Apache Parket-Avro Güvenlik Açığı
Güvenlik kusuru, parquet dosya meta verilerine gömülü avro şemalarının işlenmesinden sorumlu olan Parke-Avro modülünde bulunur.
Apache Parket 1.15.1, Mart 2025’te güvenilmeyen paketleri kısıtlamak için bir düzeltme getirirken, güvenlik araştırmacıları güvenilir paketlerin varsayılan ayarının izin verdiğini keşfetti ve hala bu paketlerden kötü amaçlı sınıfların yürütülmesine izin verdi.
Apache Software Foundation tarafından yayınlanan danışmanlığa göre, “Apache Parket 1.15.0’ın parquet-avro modülünde şema ayrıştırma ve önceki sürümler, kötü aktörlerin keyfi kod yürütmesine izin veriyor”.
“1.15.1 güvenilmeyen paketleri kısıtlamak için bir düzeltme getirirken, güvenilir paketlerin varsayılan ayarı hala bu paketlerden kötü amaçlı sınıfların yürütülmesine izin veriyor”.
İstismar özellikle parquet dosyalarını okumak için “spesifik” veya “yansıtı” modellerini kullanan uygulamaları hedeflerken, “genel” model etkilenmez.
Bu güvenlik açığı, özellikle güvenilmeyen kaynaklardan parke dosyalarını alabilen veri işleme boru hatları ile ilgilidir.
Parquet dosyalarından verileri sazipleştirmek için Apache Parket Java’nın Parkquet-Avro modülünü kullanan uygulamalar, güvenilmeyen dosyaları işlerse uzaktan kod yürütme riski altındadır.
Güvenlik açığı, firalizasyon sırasında Avro şemalarının nasıl ele alındığından kaynaklanmakta ve potansiyel olarak saldırganların şema ayrıştırma sırasında yürütülen kötü amaçlı kod enjekte etmesine izin vermektedir.
Güvenlik uzmanları, bu güvenlik açığının Nisan 2025’te keşfedilen ve parquet-avro modülünü de etkileyen benzer bir sazizleşme kusuru (CVE-2025-30065) izlediğini belirtiyor.
Güvenlik açığı, konuyu serileştirme kırılganlıklarına devam eden güvenlik araştırmalarının bir parçası olarak tanımlayan güvenlik araştırmacıları Andrew Pikler, David Handermann ve Nándor Kollár tarafından sorumlu bir şekilde bildirildi.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | 1.15.1 sürümüne göre Apache Parket Java (özellikle Parke-Avro modülü) |
| Darbe | Keyfi kod yürütme |
| Önkoşuldan istismar | – Uygulama Apache Parket Java ≤ 1.15.1- Parke-Avro modülü kullanılır- “spesifik” veya “yansıtı” avro modelleri Parke Dosyaları okumak için kasıtlı olarak kullanılır- Saldırgan, kötü niyetli bir avro şeması ile hazırlanmış bir parquet dosya tedarik etmelidir |
| CVSS 3.1 puanı | Eleştirel |
Apache Parket Java’nın etkilenen sürümlerini kullanan kuruluşların derhal harekete geçmeleri şiddetle tavsiye edilir.
Apache Parket ekibi, 1 Mayıs 2025’te güvenlik açığını tam olarak ele alan 1.15.2 sürümünü yayınladı.
Kullanıcıların önerilen iki iyileştirme seçeneği vardır:
- Güvenlik açığı için kapsamlı düzeltmeler içeren Apache Parket Java 1.15.2’ye yükseltin.
- Hemen yükseltilemeyen ancak 1.15.1 sürümünü çalıştıramayanlar için org.apache.parquet.avro.serializable_packages sistem özelliğini boş bir dizeye ayarlayın:
Her iki yaklaşım da güvenilir paketlerden kötü amaçlı kodun yürütülmesini önleyerek güvenlik açığını etkili bir şekilde hafifletir.
Veri boru hatlarında Apache Parket kullanan kuruluşlar, sistemlerini derhal denetlemeli ve potansiyel sömürü önlemek için önerilen azaltmaları uygulamalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin