간단 조작으로 루트권한 획득, 리눅스 SUDO 보안 취약점 발견

2019-10-16 12:57
이상호 기자 ghostlee@bodnara.co.kr

리눅스와 유닉스 기반 운영체제의 핵심 명령을 활용한 SUDO 유틸리티서 취약점이 발견되어 관련 시스템 점검이 요구된다.

해당 취약점은 악의적인 사용자나 프로그램이 'sudoers configuration'이 루트 액세스를 명시적으로 허용하지 않는 경우에도 대상 Linux 시스템에서 루트권한으로 임의의 명령을 실행할수 있는 sudo 보안 정책 우회 문제다.

'superuser do'의 약자인 SUDO는 사용자가 환경을 전환하지 않고 다른 사용자의 권한으로 응용 프로그램 또는 명령을 실행할 수있게하는 시스템 명령으로, 대부분 루트 사용자로 명령을 실행하기 위해 이용된다.

관련 소식을 전한 hackernews에 따르면, 대부분의 Linux 배포판에는 기본적으로 /etc/sudoers 파일의 RunAs 사양에 모든 키워드가 관리자 또는 sudo 그룹의 모든 사용자가 시스템에서 어떤한 유효 사용자로 명령을 실행할 수 있도록 설정되어 있다.

따라서, 해당 취약점을 악용될 경우 공격자가 보안 정책을 우회하고 루트권한으로 완전히 제어 할 수 있으며, SUDO에서 사용자 ID를 '-1' 또는 '4294967295'로 설정하는 것으로 악용할 수 있다. 해당 취약점은 최신 버전인 1.8.28을 제외한 모든 SUDO에 내포되어, SUDO가 사용되는 리눅스 시스템은 가급적 빠르게 최신 버전으로 업데이트해야 한다.

이 기사의 의견 보기

ㅇㅇ / 19-10-17 9:49/ 신고

-On Mobile Mode -
어제 확인해봤는데 이미 해커가 수도권한을 획득한 적이 있고, 백도어로 uid가 -1인 유저를 만드는 경우에 문제가 있습니다. uid가 -1인 유저가 생긴적이 있는지와 sudoer 정책을 확인해주면 될거 같습니다.

닉네임

비회원

보드나라 많이 본 뉴스

아이폰 폴드와 삼성 차세대 폴더폰 도입? 삼성 접힘 주름없는 폴더블 디스플레이 전시

M.2 2230 크기에 4TB, 마이크론 3610 SSD 시리즈 출시

삼성 매지션 구버전 보안 취약점 경고

보드나라 많이 본 기사

보드나라 선정,2025 베스트 어워드

성능과 가격의 합리적 조화,기가바이트 지포스 RTX 5060 Ti Windforce Max OC 8GB 제이씨현

18A 공정으로 더 높은 성능과 전력 효율, 인텔 팬서 레이크 코어 Ultra 시리즈 3 발표

보드나라 최신 기사

[10/16] 가트너, 엔비디아, 반도체 사상 첫 매출 1천억 달러 돌파.. 삼성전자, SK 하이닉스 각각 2위, 3위

[10/16] MSI, 200Hz Rapid IPS로 무장한 QHD 모니터 'MAG 274QF E20' 신제품 출시

[10/16] 넥슨, ‘블루 아카이브’ 이벤트 스토리 ‘우리는 오컬트 연구회!’ 업데이트!

[10/16] 르노코리아, 새로운 플래그십 크로스오버 ‘필랑트’ 전 세계 최초 공개.. 올 3월 국내 출시

[10/16] 딥인사이트, ‘CES 2026’서 AI 휴대용 3D 공간정보 스캐너 ‘디멘뷰’ 전시 성료

[10/16] 위메이드 ‘미르M’ 오늘 중국 정식 출시.. 미르 신화 재현한다

[10/16] 매드캣츠, CES 2026서 M.M.O. 7+ 등 게이밍 기어 신제품 라인업 공개

[10/16] 웹젠 뮤 온라인, 2026년 새해 맞이 기념 이벤트 진행

[10/16] ‘월드 챔피언십 4강’ KT vs 젠지, 17일 맞대결

[10/16] 넥슨 ‘아크 레이더스’, 전세계 누적 판매량 1,240만 장 돌파!

[10/16] 마우저, RF 설계 및 애플리케이션의 핵심 엔지니어링 과제를 조명한 전자책 발행

[10/16] 케이던스, 칩렛 상용화 가속 위한 파트너 에코시스템 발표

[10/16] 실버 팰리스, 제1차 클로즈 베타 「동일률 테스트」 오늘부터 정식 스타트

[10/16] 스트레스 해소 코미디 하렘 RPG ‘그놈은 드래곤’, 정식 출시

[10/16] Niantic, ‘Monster Hunter Now’ 신규 몬스터 ‘차원 변이 디아블로스’ 추가 및 기념 이벤트 진행

[10/16] 삼성전자, 갤럭시 콘텐츠 크리에이터 '갤럭시 크루 2026' 운영

[10/16] 로지텍, LCK와 9년 연속 공식 파트너십 체결

[10/16] 엔비디아 지포스 RTX 60 시리즈 출시, 2027년 하반기?

[10/16] 인스타그램, 계정 정보 해킹 사고 의혹 부정

[10/16] 소문이 사실로, 애플 차세대 시리에 구글 제미나이 탑재

로그인 | 이 페이지의 PC버전