Apache Parquetで重大な脆弱性、対象者はアップデートを(CVE-2025-30065)

Apache Parquet の Java ライブラリ (具体的にはparquet-avroモジュール)に重大な脆弱性が発見されました。この欠陥 ( CVE-2025-30065として識別) は、信頼できないデータの逆シリアル化(CWE-502)に分類され、最も高い重大度評価 (CVSS 10.0、「重大」) が与えられています。

パッチがリリースされているので対象者はバージョンアップする事をお勧めします。

脆弱性の対象バージョン

バージョン1.15.0以前の全てのバージョン

脆弱性の対策バージョン

バージョン1.15.1以上

脆弱性の概要

この脆弱性は、信頼できないデータの逆シリアライズ処理に起因します。悪意ある攻撃者が細工したParquetファイルを読み込ませることで、ターゲットシステム上で任意のコードを実行される恐れがあります。これにより、以下のリスクが生じます

• システムの乗っ取り
• データの改ざんや窃取
• サービスの妨害（DoS）
• ランサムウェアなどのマルウェア配布

CVSS v4による深刻度評価は満点の「10.0」とされており、極めて危険な脆弱性です。

攻撃条件と注意点

この脆弱性は、ユーザーが細工されたParquetファイルを明示的にインポートした場合にのみ発生します。つまり、攻撃者は標的システムに悪意あるファイルを読み込ませる必要があります。そのため、外部から取得したParquetファイルの扱いには特に注意が必要です。

なお、この脆弱性は2025 年 4 月初旬の時点で、悪用されたという報告はありません。つまり、攻撃者がこの脆弱性を利用していることはまだ公に知られていないということです。

ただし、この問題は今や公知になっており、その深刻さを考えると攻撃者がエクスプロイトを作成しようとする可能性があります。

対応方法

• バージョン1.15.1へのアップグレード：最も確実な対応策は、修正が適用された最新バージョンへの更新です。
• 不審なParquetファイルの回避：信頼できないソースから取得したParquetファイルは読み込まないよう徹底してください。
• ログ・モニタリングの強化：Parquet処理を行うシステムで不審な動作がないか、監視体制を強化することが推奨されます。