간단 조작으로 루트권한 획득, 리눅스 SUDO 보안 취약점 발견

2019-10-16 12:57
이상호 기자 ghostlee@bodnara.co.kr

리눅스와 유닉스 기반 운영체제의 핵심 명령을 활용한 SUDO 유틸리티서 취약점이 발견되어 관련 시스템 점검이 요구된다.

해당 취약점은 악의적인 사용자나 프로그램이 'sudoers configuration'이 루트 액세스를 명시적으로 허용하지 않는 경우에도 대상 Linux 시스템에서 루트권한으로 임의의 명령을 실행할수 있는 sudo 보안 정책 우회 문제다.

'superuser do'의 약자인 SUDO는 사용자가 환경을 전환하지 않고 다른 사용자의 권한으로 응용 프로그램 또는 명령을 실행할 수있게하는 시스템 명령으로, 대부분 루트 사용자로 명령을 실행하기 위해 이용된다.

관련 소식을 전한 hackernews에 따르면, 대부분의 Linux 배포판에는 기본적으로 /etc/sudoers 파일의 RunAs 사양에 모든 키워드가 관리자 또는 sudo 그룹의 모든 사용자가 시스템에서 어떤한 유효 사용자로 명령을 실행할 수 있도록 설정되어 있다.

따라서, 해당 취약점을 악용될 경우 공격자가 보안 정책을 우회하고 루트권한으로 완전히 제어 할 수 있으며, SUDO에서 사용자 ID를 '-1' 또는 '4294967295'로 설정하는 것으로 악용할 수 있다. 해당 취약점은 최신 버전인 1.8.28을 제외한 모든 SUDO에 내포되어, SUDO가 사용되는 리눅스 시스템은 가급적 빠르게 최신 버전으로 업데이트해야 한다.

이 기사의 의견 보기

ㅇㅇ / 19-10-17 9:49/ 신고

-On Mobile Mode -
어제 확인해봤는데 이미 해커가 수도권한을 획득한 적이 있고, 백도어로 uid가 -1인 유저를 만드는 경우에 문제가 있습니다. uid가 -1인 유저가 생긴적이 있는지와 sudoer 정책을 확인해주면 될거 같습니다.

닉네임

비회원

보드나라 많이 본 뉴스

FSR 레드스톤 정식 발표, 지원용 AMD 소프트웨어 25.12.1 출시

삼성전자, 수익 최대화 위해 HBM 보다 DDR5 증산 계획?

복잡한 쿠다 튜닝 끝? 엔비디아 차세대 GPU 개발 카드 CUDA Tile 발표

보드나라 많이 본 기사

AI 수요가 늘면 왜 DDR5 값이 오를까?, [메모리 가격 폭등 1부]

ipTIME 공유기와 어울리는 2베이 NAS, ipTIME NAS2plus

9800X3D 같은 고성능 CPU의 핵심 캐시로 알아보는, 인기 CPU와 성능 향상의 관계 [PC흥망사 16-1]

보드나라 최신 기사

[10/16] 밸브, 하프라이프 3를 스팀 머신 런칭 타이틀로 계획?

[10/16] 한국엡손, ‘엡손 라운지 리퍼비시몰’ 공식 오픈… “최대 50% 할인”

[10/16] 오페라 GX, VPN부터 광고 차단 기능까지...무료 내장 기능으로 일반 사용자 공략 나서

[10/16] SK하이닉스, 2028년에도 소비자 DRAM 공급 부족 전망

[10/16] 엔씨디지텍, ‘네이버 빅멤버십데이’서 갤럭시북 라인업 연말 프로모션 진행

[10/16] 슈퍼마이크로, 엔비디아 HGX B300 탑재 수냉식 솔루션 출시... 고집적&고효율로 하이퍼스케일 데이터센터 및 AI 팩토리 구축 지원

[10/16] 라이엇 게임즈, TFT 2026년 통합 로드맵 발표

[10/16] 마이크로닉스, 굿네이버스와 10년째 국내아동권리보호 이어가

[10/16] 앱코, SOAI와 협업한 ‘AF108PRO 기계식 키보드’ 정식 출시

[10/16] 서린씨앤아이, 리안리 SP850과 SP1000 80PLUS 플래티넘 SFX 파워서플라이 출시

[10/16] 오디오테크니카, 글로벌 1천대 한정 '호타루(HOTARU)' 턴테이블 국내 정식 출시

[10/16] 브라더코리아, 식품 라벨링 전용 TD 식품 라벨 솔루션 출시

[10/16] 지클릭커 롤플러스 4구 C타입 휴대용 멀티탭 출시

[10/16] 한국후지필름, 2026 핵심 소비 트렌드 ‘필코노미’ 공략 인스탁스 X IP 콜라보 4종 출시

[10/16] 위메이드, ‘미르의 전설’ 저작권 분쟁 대법원서 최종 승소

[10/16] 엔미디어플랫폼, ‘레드포스 PC방’ 이스포츠그라운드와 전략적 업무협약 체결!

[10/16] 믿고 사는 MSI 조합의 완성! MSI, ‘MAG Codex R2 A15NVN’ 출시

[10/16] 서린씨앤아이, 지마켓 슈퍼딜과 옥션 올킬 통해 프렉탈 디자인 특가 판매 진행

[10/16] 크래프톤, PUBG UNITED 그랜드 파이널 개막

[10/16] 앱코, SOAI와 협업한 ‘AF108PRO 기계식 키보드’ 15일 정식 출시 예고

로그인 | 이 페이지의 PC버전