간단 조작으로 루트권한 획득, 리눅스 SUDO 보안 취약점 발견

2019-10-16 12:57
이상호 기자 ghostlee@bodnara.co.kr

리눅스와 유닉스 기반 운영체제의 핵심 명령을 활용한 SUDO 유틸리티서 취약점이 발견되어 관련 시스템 점검이 요구된다.

해당 취약점은 악의적인 사용자나 프로그램이 'sudoers configuration'이 루트 액세스를 명시적으로 허용하지 않는 경우에도 대상 Linux 시스템에서 루트권한으로 임의의 명령을 실행할수 있는 sudo 보안 정책 우회 문제다.

'superuser do'의 약자인 SUDO는 사용자가 환경을 전환하지 않고 다른 사용자의 권한으로 응용 프로그램 또는 명령을 실행할 수있게하는 시스템 명령으로, 대부분 루트 사용자로 명령을 실행하기 위해 이용된다.

관련 소식을 전한 hackernews에 따르면, 대부분의 Linux 배포판에는 기본적으로 /etc/sudoers 파일의 RunAs 사양에 모든 키워드가 관리자 또는 sudo 그룹의 모든 사용자가 시스템에서 어떤한 유효 사용자로 명령을 실행할 수 있도록 설정되어 있다.

따라서, 해당 취약점을 악용될 경우 공격자가 보안 정책을 우회하고 루트권한으로 완전히 제어 할 수 있으며, SUDO에서 사용자 ID를 '-1' 또는 '4294967295'로 설정하는 것으로 악용할 수 있다. 해당 취약점은 최신 버전인 1.8.28을 제외한 모든 SUDO에 내포되어, SUDO가 사용되는 리눅스 시스템은 가급적 빠르게 최신 버전으로 업데이트해야 한다.

이 기사의 의견 보기

ㅇㅇ / 19-10-17 9:49/ 신고

-On Mobile Mode -
어제 확인해봤는데 이미 해커가 수도권한을 획득한 적이 있고, 백도어로 uid가 -1인 유저를 만드는 경우에 문제가 있습니다. uid가 -1인 유저가 생긴적이 있는지와 sudoer 정책을 확인해주면 될거 같습니다.

닉네임

비회원

보드나라 많이 본 뉴스

MS 차세대 AI 칩 Maia 3, 인텔 18A 공정서 생산?

카트라이더 드리프트, 약 2년 반 만에 완전 서비스 종료

보드나라 많이 본 기사

라이젠 메인스트림의 새로운 가성비 킹왕짱?, AMD 라이젠 5 9500F

엔비디아 인텔에 50억불 투자 및 PC제품 공동개발, 내년에 미칠 영향과 가장 피해를 보는 업체는?

서버와 모바일에 올인하고 데스크탑 CPU는 버티기, [인텔 25-26 전략 1부]

보드나라 최신 기사

[10/16] 벨킨, 아이폰17 시리즈 마그네틱 케이스 및 강화유리 필름 출시

[10/16] 뱅앤올룹슨, 100년 디자인 철학 담은 센테니얼 컬렉션 스페셜 에디션 3종 공개

[10/16] 포르쉐코리아, 신형 911 스피릿 70 국내 공식 출시

[10/16] 에스투더블유, AI 기반 사이버안보 침해대응 통합분석 플랫폼 공개

[10/16] 다중이용시설 겨냥 2025년형 LG 스탠드 정수기 신모델 출시

[10/16] MSI, 비주얼과 쿨링 성능을 모두 갖춘 게이밍 데스크탑 ‘MSI MAG Codex 시리즈’출시

[10/16] MSI, 500Hz 초고주사율과 DP2.1을 탑재한 게이밍 모니터 'MPG 271QR QD-OLED X50' 출시

[10/16] 유니씨앤씨, 삼성 갤럭시북5 프로, ‘디지털 어워즈’ LIVE 최대 28% 할인과 특별 사은품 제공

[10/16] 앱코, 칠키 풀배열 알루미늄 키보드 ‘ND104’ 사전 예약 판매 시작

[10/16] 라테일, ‘웃는 얼굴’ 가을 업데이트 실시

[10/16] LG전자, 정수가습가전-사계절 에어컨으로 환절기 맞춤 공기 솔루션 제시

[10/16] 영우디에스피, ‘SEDEX 2025’ 참가.. 반도체 검사 장비 사업 전환 신호탄

[10/16] 크래프톤, 지스타 2025에서 ‘팰월드 모바일’ 최초 공개

[10/16] 넥슨, ‘히트2’ 클래식 서버 첫 공성전 업데이트!

[10/16] BONE격 골때리는 RPG ‘본 어게인: 해골히어로’ 정식 출시

[10/16] AMD 차세대 APU 지원 바이오스 배포 개시, 라이젠 9000G 시리즈 출시 임박?

[10/16] 최적화도 뛰어난 배틀필드 6, GAINWARD 지포스 RTX 5060 고스트 옵션은?

[10/16] 포르쉐 AG, 신형 마칸 GTS 공개

[10/16] 11월 25일 출시 예정 <카발RED>, 교촌치킨 콜라보 프로모션 진행

[10/16] 넷앱 업계 최초 데이터 유출 탐지 기능 포함 엔터프라이즈 스토리지 출시

로그인 | 이 페이지의 PC버전