Data Dynamics
公告
CriticalCCA-2025-847

Apache Parquet CVE-2025-30065 — Cloudera 제품 영향 범위 및 조치 안내

Apache Parquet parquet-avro 모듈의 임의 코드 실행 취약점(CVE-2025-30065, CVSS 10.0)에 대한 Cloudera 제품별 영향 범위와 완화책, 수정 버전을 정리한 고객 안내(2025-847)입니다.

公告 ID
CCA-2025-847
类型
安全
严重程度
Critical
状态
临时缓解
首次发布
2026年4月28日
最近更新
2026年4月28日
CVSS
10.0
CVE
CVE-2025-30065
受影响产品
  • Cloudera Platform (구 Cloudera Data Platform) 7.3.1.100 CHF1 이하 전체
  • Cloudera on cloud 7.2.18.900 이하 전체
  • Cloudera on premises 7.1.7 SP3 CHF9 이하, 7.1.9 SP1 CHF7 이하
  • Cloudera Data Services on premises 1.5.4 SP2 이하
  • Cloudera Data Engineering on cloud 전체
  • CDS (Cloudera Distribution of Spark) 7.1.9용 CDS 3.3 전체 릴리스
  • Cloudera Data Flow on cloud / Flow Management(on premises·Kubernetes Operator) CDF 2.9.0 이하, CFM 2.1.7.2000 SP2 이하 — record 지향 'Parquet Reader'(PutIceberg/PutIcebergCDC/ParquetReader) 사용 시
  • Cloudera Streaming Analytics (+ Kubernetes Operator) CSA 1.15.0 이하, Operator 1.2 이하
  • Cloudera Search 7.3.1 이하 (CrunchIndexerTool/MapReduceIndexerTool에서 Parquet·Avro 사용 시)
  • Cloudera Data Warehouse on cloud 1.9.6-b2 이하
  • Cloudera AI Workbench (on cloud·on premises) on cloud 2.0.47-b365 이하, on premises 2.0.44-b372 (1.5.4 SP2) 이하
已修复版本
Cloudera on premises 7.1.7 SP3 CHF10 (2025-04-15), Cloudera on premises 7.1.9 SP1 CHF8 (2025-05-08), Cloudera on premises 7.3.1.200 SP1 (2025-04-24), Cloudera on cloud 7.2.18.1000 · 7.2.17.1200 (2025-06-04), Cloudera Data Services on premises 1.5.5 (2025-06-06), CDS 3.3.7191000.10 (2025-05-31), Cloudera Data Warehouse on cloud 1.10.1-b703 (2025-04-23), Cloudera Streaming Analytics - Kubernetes Operator 1.2.2 (2025-04-16), Cloudera Observability on cloud (2025-04-09 배포 완료)
本公告尚未翻译,将显示原始(韩文)版本。

요약 (Summary)

2025년 4월 1일, Apache Parquet 의 parquet-avro 모듈에서 임의 코드 실행이 가능한 치명적 취약점(CVE-2025-30065, CVSS 10.0)이 공개되었습니다. Cloudera 는 영향받는 제품 목록을 확정하고, 영향받는 버전에 대한 완화책과 수정 사항을 본 안내(고객 안내 2025-847)로 제공합니다.

현재 지원되는 모든 영향 릴리스에 대해 수정 버전이 배포되고 있으며, 구버전을 사용 중인 고객은 수정이 적용된 지원 릴리스로 업그레이드할 것을 권장합니다.

취약점 상세 (Vulnerability Details)

  • CVE-2025-30065 — Apache Parquet 1.15.0 및 이전 버전의 parquet-avro 모듈 스키마 파싱 과정에서 공격자가 임의 코드를 실행할 수 있습니다.
  • 악용 조건 — 변환에 사용되는 허용 스키마(accepted schema)를 변조하고, 특수하게 조작된 악성 파일을 제출해야만 악용이 가능합니다.
  • 심각도(Critical)CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
  • 참고: NVD - CVE-2025-30065

영향받는 사용자 (Users Affected)

위 영향 제품을 사용하면서 다음에 해당하는 사용자:

  • 빅데이터 프레임워크(Hadoop, Spark, Flink 등)로 Parquet 파일을 읽거나 가져오는 데이터 파이프라인·분석 시스템을 운영하는 경우 (특히 외부·미검증·신뢰할 수 없는 소스에서 파일을 수집하는 경우)
  • 또는 Parquet Java 코드를 포함한 자체 애플리케이션을 운영하는 경우

영향 (Impact)

parquet-avro 모듈의 스키마 파싱 취약점으로 공격자는 임의 코드를 실행할 수 있습니다. 안전하다고 가정한 객체·데이터가 변조되거나, 제공된 접근자 함수를 거치지 않고 역직렬화 데이터·코드가 수정되거나, 예기치 않은 함수가 호출될 수 있습니다. 역직렬화 취약점은 일반적으로 메모리 변조·원격 코드 실행 등 정의되지 않은 동작으로 이어집니다.

영향받는 릴리스 (Releases Affected)

제품영향 버전
Cloudera Platform (구 CDP)7.3.1.100 CHF1 이하 전체
Cloudera on cloud7.2.18.900 이하 전체
Cloudera on premises7.1.7 SP3 CHF9 이하 / 7.1.9 SP1 CHF7 이하 전체
Cloudera Data Services on premises1.5.4 SP2 이하
Cloudera Data Engineering on cloud전체
CDS (Cloudera Distribution of Spark)7.1.9용 CDS 3.3 전체 릴리스
Cloudera Data Flow on cloud2.9.0 이하 — record 지향 'Parquet Reader'(PutIceberg/PutIcebergCDC/ParquetReader) 사용 시
Cloudera Flow Management on premises2.1.7.2000 SP2 이하 — Parquet Reader 사용 시
Cloudera Flow Management - Kubernetes Operator2.9.0 이하 — Parquet Reader 사용 시
Cloudera Streaming Analytics1.15.0 이하
Cloudera Streaming Analytics - Kubernetes Operator1.2 이하
Cloudera Search7.3.1 이하
Cloudera Data Warehouse on cloud1.9.6-b2 이하
Cloudera AI Workbench on cloud2.0.47-b365 이하
Cloudera AI Workbench on premises2.0.44-b372 (1.5.4 SP2) 이하

Cloudera Search 참고 — parquet-avro 모듈은 배치 색인용 클라이언트 도구(CrunchIndexerTool, MapReduceIndexerTool)에서만 사용됩니다. Parquet·Avro 형식을 사용하지 않으면 영향이 없으며, 핵심 검색 엔진 컴포넌트(Apache Solr)는 영향받지 않습니다. 해당 파일은 HDFS에 저장된 뒤 처리되므로 외부·미신뢰 소스에서 유입되지 않습니다.

레거시 제품 (Legacy Products)

Cloudera 는 아래 레거시 제품에 대한 수정을 배포하지 않습니다. 구버전 사용 고객은 수정이 적용된 지원 릴리스로 업그레이드하세요.

  • Cloudera Distribution of Hadoop (CDH)
  • Hortonworks Data Platform (HDP)
  • Cloudera Data Science Workbench (CDSW)

완화 조치 (Mitigation)

Cloudera Flow Management on premises / DataHub Flow Management

데이터플로가 위에 명시된 프로세서를 사용하지 않는 것으로 확인되면, CFM 라이브러리 디렉터리에서 해당 NiFi Archive(.nar) 파일을 제거할 수 있습니다. Cloudera 가 flow.json.gz 파일을 점검하고 .nar 을 손쉽게 제거하는 스크립트를 제공합니다.

# 다운로드 없이 바로 실행
curl -sL https://raw.githubusercontent.com/cloudera/DiM/main/CVE-2025-30065/cloudera-check-parquet.py | python3 - <flow.json.gz>

그 외 영향 컴포넌트 (일반 완화책)

수정 버전이 배포되기 전까지 다음 완화책을 적용하세요.

  • FIM 솔루션 보유 고객 — 파일 무결성 모니터링(FIM)으로 파일시스템 수준에서 스키마 구성의 예기치 않은·의심스러운 변경을 감시·알림
  • 네트워크 분리·트래픽 모니터링 — 심층 패킷 검사가 가능한 방화벽·WAF로 영향 엔드포인트로 향하는 트래픽 검사
  • 의심·예기치 않은 활동에 대한 알림 구성 (샘플 분석 파라미터 예시)
    • Parquet 파일 "매직 바이트" = PAR1
    • 예상 소스 IP 대역이 아닌 호스트로부터의 연결
  • 알 수 없거나 신뢰할 수 없는 출처의 Parquet 파일 처리 주의 — 가능하면 외부 유입·출처 불명 파일은 처리하지 않음
  • Parquet 파일을 수집하는 엔드포인트는 인가된 사용자만 접근하도록 제한

수정 버전 (Addressed in Release / Refresh / Patch)

제품수정 버전 (배포일/예정)
Cloudera on premises7.1.7 SP3 CHF10 (2025-04-15) · 7.1.9 SP1 CHF8 (2025-05-08) · 7.3.1.200 SP1 (2025-04-24)
Cloudera on cloud7.2.18.1000 (2025-06-04) · 7.2.17.1200 (2025-06-04)
Cloudera Data Services on premises1.5.5 (2025-06-06) · 1.5.4 SP2 CHF1 (7월 초 예정, 7.1.9 SP1 CHF8·7.1.7 SP3 CHF10에서만 지원)
Cloudera Data Engineering on cloud1.24.1 (2025-06-30 예정) · 1.23.1-h3 (2025-06-09, 별도 수정 절차 필요)
CDS (Cloudera Distribution of Spark)3.3.7191000.10 (2025-05-31) — CDS 3.2(7.1.7용)는 영향 없음
Cloudera Data Warehouse on cloud1.10.1-b703 (2025-04-23)
Cloudera SearchCloudera Platform on cloud·on premises 업데이트로 패치
Cloudera Flow Management on cloudCloudera Platform on cloud 업데이트로 패치
Cloudera Flow Management on premisesCFM-2.1.5.3004 (2025-05-27) · CFM-2.1.6.1015 (2025-05-22) · CFM-2.1.7.2003 (2025-05-29)
Cloudera Streaming Analytics1.11.3 · 1.13.4 (7.1.9 SP1 CHF8과 동시) · 1.14.1 · 1.15.1 (7.3.1.200과 동시)
Cloudera Streaming Analytics - Kubernetes Operator1.2.2 (2025-04-16)
Cloudera DataFlow on cloud지원되는 모든 NiFi 1.x 패치 버전 제공 (2025-04-30 예정)
Cloudera Flow Management - Kubernetes Operator2.9.0-h2 (2025-04-30 예정)
Cloudera AI Workbench (구 Cloudera Machine Learning)on cloud 2.0.50 핫픽스 (2025-05-30 예정) · on premises 2.0.44 핫픽스(1.5.4 SP2 CHF1 포함, 7월 초 예정)
Cloudera Observability on cloud2025-04-09 프로덕션 배포 완료
Cloudera Data Catalog1.5.4 SP2 CHF1 (7월 초 예정)

CDE 1.23.1-h3 별도 수정 절차

CDE on cloud 1.23.1-h3 은 본 CVE에 대한 별도 조치가 필요합니다. Spark 3.x 가상 클러스터마다(Spark 2 클러스터는 영향 없음) 활성 작업이 없는 상태에서 수행하세요.

# 스크립트: https://github.com/cloudera/cde-public/blob/master/CVE-2025-30065/cde-update-images-1231h3.sh
chmod +x ./cde-update-images-1231h3.sh
./cde-update-images-1231h3.sh dex-app-<appid> <클러스터 kubeconfig>

참고 자료 (References)

변경 이력 (Change Log)

날짜변경 사항
2026-04-28고객 안내 2025-847 기반 발행 (영향 범위·완화책·수정 버전 정리)