セキュリティ

SECURITY

公開：2025-05-17

Apache Parquet Java 1.15.2リリース、CVE-2025-46762脆弱性を修正

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Apache Parquet Java 1.15.2がリリースされた
• parquet-avroモジュールにおける悪意のあるコード実行の脆弱性CVE-2025-46762が修正された
• 1.15.1以前のバージョンを使用している場合は、アップデートまたはシステムプロパティの設定が必要だ

Apache Parquet Javaの脆弱性修正

Apache Software Foundationは2025年5月6日、Apache Parquet Javaの脆弱性CVE-2025-46762に対する修正パッチを含むバージョン1.15.2を公開した。この脆弱性により、parquet-avroモジュールで特定の方法でAvroスキーマを読み込む際に、悪意のあるコードが実行される可能性があったのだ。

この脆弱性は、parquet-avroモジュールが「specific」または「reflect」モデルを使用してParquetファイルを読み込む場合にのみ影響する。一方、「generic」モデルは影響を受けない。攻撃者は、信頼できるパッケージに悪意のあるクラスを含めることで、任意のコードを実行できる可能性があったのだ。

Apache Software Foundationは、1.15.1で信頼されていないパッケージを制限する修正を導入したが、デフォルト設定では信頼できるパッケージからの悪意のあるクラスの実行を依然として許可していた。そのため、1.15.2へのアップデート、または1.15.1を使用している場合はシステムプロパティ「org.apache.parquet.avro.SERIALIZABLE_PACKAGES」を空文字列に設定することが推奨されている。

脆弱性に関する詳細

Apache Parquet Java公式ページ

Apache Parquet JavaとAvroスキーマ

Apache Parquetは、列指向の効率的なデータストレージフォーマットだ。Avroスキーマは、Parquetファイルのデータ構造を定義する役割を果たす。

• データの構造を定義する
• データの整合性を確保する
• データの効率的な読み書きを可能にする

この脆弱性は、Avroスキーマの処理における不備によって発生した。そのため、アップデートまたはシステムプロパティの設定によって、この脆弱性を修正することが重要だ。

CVE-2025-46762に関する考察

Apache Parquet Javaにおけるこの脆弱性は、悪意のあるコード実行につながる可能性があるため、非常に深刻な問題だ。迅速な対応が求められる。多くのユーザーが影響を受ける可能性があるため、Apache Software Foundationによる迅速なパッチ提供は評価できる。

しかし、デフォルト設定で脆弱性が残っていた点は問題だ。今後、このような事態を防ぐためには、より厳格なセキュリティチェック体制の構築が必要となるだろう。また、ユーザーへの情報提供についても、より分かりやすく、迅速に行う必要がある。

今後のApache Parquet Javaの開発においては、セキュリティの強化はもちろんのこと、ユーザーフレンドリーなインターフェースの提供も重要となるだろう。より安全で使いやすいシステムを提供することで、ユーザーの信頼を維持することができるのだ。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-46762」. https://www.cve.org/CVERecord?id=CVE-2025-46762, (参照 25-05-17).
2515

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧