Apache Roller 및 Parquet의 치명적 취약점 공개…세션 유지 및 원격 코드 실행 위협

Critical Apache Roller flaw allows to retain unauthorized access even after a password change

 

Critical Apache Roller Vulnerability (CVSS 10.0) Enables Unauthorized Session Persistence

 

• Apache Roller 취약점 개요 (CVE-2025-24859)
  • 영향 버전: Apache Roller 6.1.4 이하 모든 버전
  • 심각도: CVSS 10.0 (최고 등급)
  • 취약점 유형: 세션 관리 오류(Session Management Flaw)
  • 설명: 사용자 또는 관리자가 비밀번호를 변경해도 기존 로그인 세션이 만료되지 않음
    • 공격자가 탈취한 세션을 통해 비밀번호 변경 이후에도 지속적인 접근 가능
  • 패치 버전: 6.1.5에서 중앙 집중형 세션 무효화 로직 도입으로 수정됨
• 보안 영향 및 위험도
  • 사용자 계정 탈취 시 비밀번호 변경만으로 계정 보호 불가능
  • 관리자 계정까지 공격자에 의해 장기간 무단 접근 가능
  • 인증 정보 유출 사고 발생 시, 강제 로그아웃 기능이 필수적이라는 점 재확인
• Apache Parquet 취약점 개요 (CVE-2025-30065)
  • 영향 버전: 1.8.0부터 1.15.0까지
  • 심각도: CVSS 10.0
  • 취약점 유형: 신뢰되지 않은 데이터 역직렬화(Deserialization of Untrusted Data)
  • 설명: parquet-avro 모듈 내 스키마 파싱 로직이 조작된 Parquet 파일을 통해 원격 코드 실행 허용
  • 영향 시스템: Apache Hadoop, Apache Spark, Apache Flink 등 대규모 분산 데이터 처리 프레임워크
• 관련 이슈 및 기타 취약점 동향
  • 2025년 3월 공개된 Apache Tomcat 취약점(CVE-2025-24813, CVSS 9.8)도 공개 직후 공격에 활용됨
  • 최근 Apache 생태계 전반에 걸쳐 세션 관리, 파일 포맷 파싱, 역직렬화 보안 문제가 반복되고 있음
  • 오픈소스 소프트웨어의 공급망 보안(Supply Chain Security)에 대한 업계 전반의 경각심 고조
• 보안 권고
  • Apache Roller 사용자
    • 즉시 6.1.5 이상 버전으로 업그레이드 권고
    • 비밀번호 변경 시 기존 세션을 강제로 종료시키는 세션 무효화 정책 확인
    • 웹 애플리케이션 방화벽(WAF) 및 사용자 활동 모니터링 설정 강화
  • Apache Parquet 사용자
    • 의심스러운 또는 외부에서 유입된 Parquet 파일 불허 및 검증 강화
    • 취약한 버전의 Parquet Java 라이브러리 제거 및 최신 버전으로 교체
    • 코드 내 역직렬화 로직 사용 여부 전수 조사 및 제거 필요
  • 공급망 보안 대응
    • 사용 중인 오픈소스 라이브러리에 대한 SBOM(소프트웨어 구성 목록) 관리 필요
    • 패키지 저장소 모니터링 및 업데이트 자동화 체계 구축
• 결론
  • Apache Roller의 세션 유지 취약점은 사용자 보호를 위해 반드시 즉각적인 조치가 필요한 심각한 위협
  • Apache Parquet 취약점은 데이터 처리 프레임워크를 활용하는 기업에 광범위한 피해를 초래할 수 있음
  • 오픈소스 기반 시스템 전반에 대한 취약점 점검 및 선제적 업데이트가 필수적이며, 특히 인증 및 역직렬화 관련 코드에는 보안성 점검을 정례화해야 함