간단 조작으로 루트권한 획득, 리눅스 SUDO 보안 취약점 발견

2019-10-16 12:57
이상호 기자 ghostlee@bodnara.co.kr

리눅스와 유닉스 기반 운영체제의 핵심 명령을 활용한 SUDO 유틸리티서 취약점이 발견되어 관련 시스템 점검이 요구된다.

해당 취약점은 악의적인 사용자나 프로그램이 'sudoers configuration'이 루트 액세스를 명시적으로 허용하지 않는 경우에도 대상 Linux 시스템에서 루트권한으로 임의의 명령을 실행할수 있는 sudo 보안 정책 우회 문제다.

'superuser do'의 약자인 SUDO는 사용자가 환경을 전환하지 않고 다른 사용자의 권한으로 응용 프로그램 또는 명령을 실행할 수있게하는 시스템 명령으로, 대부분 루트 사용자로 명령을 실행하기 위해 이용된다.

관련 소식을 전한 hackernews에 따르면, 대부분의 Linux 배포판에는 기본적으로 /etc/sudoers 파일의 RunAs 사양에 모든 키워드가 관리자 또는 sudo 그룹의 모든 사용자가 시스템에서 어떤한 유효 사용자로 명령을 실행할 수 있도록 설정되어 있다.

따라서, 해당 취약점을 악용될 경우 공격자가 보안 정책을 우회하고 루트권한으로 완전히 제어 할 수 있으며, SUDO에서 사용자 ID를 '-1' 또는 '4294967295'로 설정하는 것으로 악용할 수 있다. 해당 취약점은 최신 버전인 1.8.28을 제외한 모든 SUDO에 내포되어, SUDO가 사용되는 리눅스 시스템은 가급적 빠르게 최신 버전으로 업데이트해야 한다.

이 기사의 의견 보기

ㅇㅇ / 19-10-17 9:49/ 신고

-On Mobile Mode -
어제 확인해봤는데 이미 해커가 수도권한을 획득한 적이 있고, 백도어로 uid가 -1인 유저를 만드는 경우에 문제가 있습니다. uid가 -1인 유저가 생긴적이 있는지와 sudoer 정책을 확인해주면 될거 같습니다.

닉네임

비회원

보드나라 많이 본 뉴스

엔비디아, AI 훈련에 불법 사이트 자료 사용 혐의로 집단 소송 당해

AMD 라이젠 7 9850X3D, 고클럭 메모리의 게임 성능 영향 미비?

윈도우 11 1월 보안 업데이트, 일부 시스템서 부팅 불가 이슈 유발

보드나라 많이 본 기사

본격 와이파이 7 경험의 시작, ipTIME BE9400QCA

보드나라 선정,2025 베스트 어워드

18A 공정으로 더 높은 성능과 전력 효율, 인텔 팬서 레이크 코어 Ultra 시리즈 3 발표

보드나라 최신 기사

[10/16] 잡코리아, 창립 30주년 맞아 새 사명 '웍스피어' 공개

[10/16] 에이수스, 게이머를 위한 ‘레지던트 이블 – 레퀴엠’ 번들 프로모션 진행

[10/16] 콩가텍, 최신 AMD 라이젠 AI 임베디드 P100 프로세서 기반 COM 익스프레스 콤팩트 모듈 출시

[10/16] 음악으로 전하는 달콤한 마음, 뱅앤올룹슨 발렌타인데이 프로모션

[10/16] 넥스쳐, ‘아이러브커피’ 신규 테마 ‘물망초 신전’ 업데이트 및 이벤트 진행

[10/16] 플라이드 머티어리얼즈 '세미콘 코리아 2026 참가', 에너지 효율적인 AI 위한 반도체 혁신 기술 발표

[10/16] 지클릭커, '제주바다 풀윤활 플런저 무소음 방수 OPK108' 키보드 출시

[10/16] 32인치 QHD 165Hz 크로스오버존 게이밍 모니터 완판기념 예약판매

[10/16] NC AI, 사운드 생성 AI 서비스 VARCO Sound 출시

[10/16] 오늘의 AMD는 한 단계 더 진화한다, AMD 라이젠 7 9850X3D

[10/16] T1, ‘2026 LCK 로드쇼 T1 홈그라운드’ 개최

[10/16] 유니씨앤씨, 갤럭시북5 프로 '블루밍데이즈 x 갤럭시 AI 아카데미' LIVE 방송 진행

[10/16] ‘에오스 레드’ 새해맞이 신규 월드 보스 콘텐츠 업데이트!

[10/16] 아이엘-맥서브, 로봇 구독 기반 스마트 시설관리 플랫폼 공동 구축

[10/16] AI PC 중심 컴퓨팅 질서 재편, 인텔 코어 울트라 시리즈 3 생태계 출범

[10/16] 넷마블 <아스달 연대기: 세 개의 세력>, ‘월드 통합 공성전’ 업데이트 실시

[10/16] 아이노비아, 감도 높은 포터블 아웃도어 브랜드 BEREST(비레스트), 소리와 빛이 동시에 머무는 조명 블루투스 스피커 ‘MINI’ 출시

[10/16] 컴투스, ‘유니데브’와 ‘제4회 유니잼 with 컴투스’ 성황리 마무리

[10/16] 인텔, ‘2026 AI PC 쇼케이스 서울’에서 18A 공정 기반 인텔 코어 Ultra 시리즈 3 탑재 AI PC 대거 공개

[10/16] 포켓몬코리아, 포켓몬 카드 게임 ‘2026 KBS Kids 배틀 토너먼트’ 개최

로그인 | 이 페이지의 PC버전