간단 조작으로 루트권한 획득, 리눅스 SUDO 보안 취약점 발견

2019-10-16 12:57
이상호 기자 ghostlee@bodnara.co.kr

리눅스와 유닉스 기반 운영체제의 핵심 명령을 활용한 SUDO 유틸리티서 취약점이 발견되어 관련 시스템 점검이 요구된다.

해당 취약점은 악의적인 사용자나 프로그램이 'sudoers configuration'이 루트 액세스를 명시적으로 허용하지 않는 경우에도 대상 Linux 시스템에서 루트권한으로 임의의 명령을 실행할수 있는 sudo 보안 정책 우회 문제다.

'superuser do'의 약자인 SUDO는 사용자가 환경을 전환하지 않고 다른 사용자의 권한으로 응용 프로그램 또는 명령을 실행할 수있게하는 시스템 명령으로, 대부분 루트 사용자로 명령을 실행하기 위해 이용된다.

관련 소식을 전한 hackernews에 따르면, 대부분의 Linux 배포판에는 기본적으로 /etc/sudoers 파일의 RunAs 사양에 모든 키워드가 관리자 또는 sudo 그룹의 모든 사용자가 시스템에서 어떤한 유효 사용자로 명령을 실행할 수 있도록 설정되어 있다.

따라서, 해당 취약점을 악용될 경우 공격자가 보안 정책을 우회하고 루트권한으로 완전히 제어 할 수 있으며, SUDO에서 사용자 ID를 '-1' 또는 '4294967295'로 설정하는 것으로 악용할 수 있다. 해당 취약점은 최신 버전인 1.8.28을 제외한 모든 SUDO에 내포되어, SUDO가 사용되는 리눅스 시스템은 가급적 빠르게 최신 버전으로 업데이트해야 한다.

이 기사의 의견 보기

ㅇㅇ / 19-10-17 9:49/ 신고

-On Mobile Mode -
어제 확인해봤는데 이미 해커가 수도권한을 획득한 적이 있고, 백도어로 uid가 -1인 유저를 만드는 경우에 문제가 있습니다. uid가 -1인 유저가 생긴적이 있는지와 sudoer 정책을 확인해주면 될거 같습니다.

닉네임

비회원

보드나라 많이 본 뉴스

소니, PS5 Pro에 FSR4의 완전한 버전 이식 계획

마이크론, 9세대 QLC 낸드 사용한 Micron 2600 NVMe SSD 발표

팀그룹, 차세대 휴대용 게임기 지원 APEX SD7.1 MicroSD Express 카드 출시

보드나라 많이 본 기사

등장은 늦었지만 무서운 잠재력, AMD 라데온 RX 9060 XT 16GB

MS-ASUS Xbox 휴대용 게임기 협력, ROG Xbox Ally 연말 출시

이 회사가 우리나라거였어?,미국시장을 주름잡았던 한국계 브랜드 [PC흥망사 13-2]

보드나라 최신 기사

[10/16] MSI, 두 가지 콘셉트를 하나로 담은 듀얼 모드 게이밍 모니터 ‘MAG 322URDF700 E16’ 출시

[10/16] 갤럭시코리아, 갤럭시 지포스 RTX 5050 BLACK OC D6 8GB DUAL HDMI 출시

[10/16] 2분기 PC시장 신제품 출시 뉴스 분석,AMD 5500X3D/9600X3D부터 60급 그래픽카드와 지포스 5050까지

[10/16] 넷마블 <나 혼자만 레벨업:어라이즈>, ‘i-dle (아이들)’ 콜라보 업데이트 진행

[10/16] 넥슨, ‘마비노기 모바일’ 출시 100일 기념 감사 이벤트 실시

[10/16] ‘플레이투게더’, 공룡이 살아났다! 신비의 ‘다이노소어 파크’ 업데이트

[10/16] <원스 휴먼>, 신규 PVE 시나리오 등장하는 2.0 대규모 업데이트 진행!

[10/16] 신화급 귀속 아이템을 손에 넣었다: 방치형 RPG 출시 100일 기념 이벤트 진행

[10/16] 유니씨앤씨, 삼성 갤럭시북5 프로 Summer Academy AI 구매체험단 진행

[10/16] 아이티블루 X ACER, 아스파이어 GO AG14-71M-54YH 런칭

[10/16] 위메이드, 레전드 오브 이미르 시즌 2 업데이트 실시

[10/16] 서린씨앤아이, 프렉탈디자인 리파인 특가 진행

[10/16] 넥슨, 서든어택 오징어 게임 시즌3 컬래버 업데이트 실시

[10/16] 2025 EAFF E-1 챔피언십 쿠팡플레이, 전 경기 생중계 선보인다

[10/16] 스타폴게임즈, 카오스 디펜스 머지? 사전예약 시작

[10/16] 넷이즈게임즈 연운(Where Winds Meet), 7월 최종 글로벌 테스트 실시

[10/16] Niantic, Monster Hunter Now 신규 기능 탐색 거점 베타 테스트 실시

[10/16] SK하이닉스, '인텔 AI 써밋 서울 2025'에서 AI 시대 메모리 솔루션 선보여

[10/16] 승리의 여신: 니케, OVER THE HORIZON 업데이트

[10/16] PUBG: 배틀그라운드, 에스파와 컬레버레이션 티저 영상 공개

로그인 | 이 페이지의 PC버전