간단 조작으로 루트권한 획득, 리눅스 SUDO 보안 취약점 발견

2019-10-16 12:57
이상호 기자 ghostlee@bodnara.co.kr

리눅스와 유닉스 기반 운영체제의 핵심 명령을 활용한 SUDO 유틸리티서 취약점이 발견되어 관련 시스템 점검이 요구된다.

해당 취약점은 악의적인 사용자나 프로그램이 'sudoers configuration'이 루트 액세스를 명시적으로 허용하지 않는 경우에도 대상 Linux 시스템에서 루트권한으로 임의의 명령을 실행할수 있는 sudo 보안 정책 우회 문제다.

'superuser do'의 약자인 SUDO는 사용자가 환경을 전환하지 않고 다른 사용자의 권한으로 응용 프로그램 또는 명령을 실행할 수있게하는 시스템 명령으로, 대부분 루트 사용자로 명령을 실행하기 위해 이용된다.

관련 소식을 전한 hackernews에 따르면, 대부분의 Linux 배포판에는 기본적으로 /etc/sudoers 파일의 RunAs 사양에 모든 키워드가 관리자 또는 sudo 그룹의 모든 사용자가 시스템에서 어떤한 유효 사용자로 명령을 실행할 수 있도록 설정되어 있다.

따라서, 해당 취약점을 악용될 경우 공격자가 보안 정책을 우회하고 루트권한으로 완전히 제어 할 수 있으며, SUDO에서 사용자 ID를 '-1' 또는 '4294967295'로 설정하는 것으로 악용할 수 있다. 해당 취약점은 최신 버전인 1.8.28을 제외한 모든 SUDO에 내포되어, SUDO가 사용되는 리눅스 시스템은 가급적 빠르게 최신 버전으로 업데이트해야 한다.

이 기사의 의견 보기

ㅇㅇ / 19-10-17 9:49/ 신고

-On Mobile Mode -
어제 확인해봤는데 이미 해커가 수도권한을 획득한 적이 있고, 백도어로 uid가 -1인 유저를 만드는 경우에 문제가 있습니다. uid가 -1인 유저가 생긴적이 있는지와 sudoer 정책을 확인해주면 될거 같습니다.

닉네임

비회원

보드나라 많이 본 뉴스

갤럭시 S26 울트라, 렌즈 플레어 방지용 신규 렌즈 사용?

KT 보안 이슈 관련, 위약금 면제 포함 보상안 발표

메모리 반도체 시장 영향, 1월 5일부터 ASUS 일부 제품 가격 인상 진행

보드나라 많이 본 기사

보드나라 선정,2025 베스트 어워드

2026년 DDR5 메모리 가격의 미래는 중국을 보라, [메모리 가격 폭등 2부]

4K 60p 지원 5 in 1 USB 멀티 허브, ipTIME UC305HDMIplus

보드나라 최신 기사

[10/16] MSI, 가격 경쟁력 강화한 QD-OLED 게이밍 모니터 ‘MAG 274QP QD-OLED X24’ 출시

[10/16] 지포스 게임 경험의 강화, 엔비디아 DLSS 4.5와 지싱크 펄사 발표

[10/16] AMD, CES 2026에서 다양한 파트너와 'AI Everywhere, for Everyone' 비전 공유

[10/16] 라이프웍스, INNO3D 지포스 RTX 50 시리즈 특가 판매

[10/16] 2026 LCK컵, KT vs DNS 대결로 14일 개막

[10/16] 18A 공정으로 더 높은 성능과 전력 효율, 인텔 팬서 레이크 코어 Ultra 시리즈 3 발표

[10/16] 디앤디, AMD 라이젠 AM5 고성능 메인보드 'MAXSUN eSport B850M WIFI ICE' 출시

[10/16] AMD, 자동차 산업 피지컬 AI 전반에서 몰입형 AI 경험을 구현하는 라이젠 AI 임베디드 프로세서 포트폴리오 공개

[10/16] AMD, CES 2026에서 새로운 라이젠, 라이젠 AI 및 AMD ROCm 발표, 클라이언트 그래픽 소프트웨어 전반에서 AI 리더십 확대

[10/16] 디앤디, PCIe 5.0 지원하는 Micro-ATX 메인보드 'MAXSUN 챌린저 H810M-F' 출시

[10/16] 스마트카라 음식물처리기, 신제품 ‘스마트카라 STONE’ 3차 쇼핑라이브 진행

[10/16] 마우저, 산업용 모터 제어 애플리케이션을 위한 르네사스의 RA8T2 마이크로컨트롤러 공급

[10/16] 글로벌 대작 각성 진화 전략 RPG ‘DX: 각성자들’, 사전예약 돌입!

[10/16] 엑스페리(Xperi), CES 2026 참가.. DTS 오토스테이지 비디오 주요 자동차 업체들 채택 확대

[10/16] 글로벌 MMORPG 〈역수한〉 신년 대규모 업데이트

[10/16] 엔비디아, 블루필드-4로 차세대 AI 위한 최신 AI 네이티브 스토리지 인프라 구현

[10/16] 엔비디아, 차세대 AI 위한 ‘루빈’ 플랫폼 출시

[10/16] 스트레스 해소 코미디 하렘 RPG ‘그놈은 드래곤’, 출시 일정 1월 13일로 확정!

[10/16] 에이수스, CES 2026에서 세계 최초 240Hz OLED 게이밍 글래스 ‘ROG XREAL R1’ 발표

[10/16] 스트라드비젼, CES 2026에서 Seeing Machines과 첫 공개 협업 발표

로그인 | 이 페이지의 PC버전