간단 조작으로 루트권한 획득, 리눅스 SUDO 보안 취약점 발견

2019-10-16 12:57
이상호 기자 ghostlee@bodnara.co.kr

리눅스와 유닉스 기반 운영체제의 핵심 명령을 활용한 SUDO 유틸리티서 취약점이 발견되어 관련 시스템 점검이 요구된다.

해당 취약점은 악의적인 사용자나 프로그램이 'sudoers configuration'이 루트 액세스를 명시적으로 허용하지 않는 경우에도 대상 Linux 시스템에서 루트권한으로 임의의 명령을 실행할수 있는 sudo 보안 정책 우회 문제다.

'superuser do'의 약자인 SUDO는 사용자가 환경을 전환하지 않고 다른 사용자의 권한으로 응용 프로그램 또는 명령을 실행할 수있게하는 시스템 명령으로, 대부분 루트 사용자로 명령을 실행하기 위해 이용된다.

관련 소식을 전한 hackernews에 따르면, 대부분의 Linux 배포판에는 기본적으로 /etc/sudoers 파일의 RunAs 사양에 모든 키워드가 관리자 또는 sudo 그룹의 모든 사용자가 시스템에서 어떤한 유효 사용자로 명령을 실행할 수 있도록 설정되어 있다.

따라서, 해당 취약점을 악용될 경우 공격자가 보안 정책을 우회하고 루트권한으로 완전히 제어 할 수 있으며, SUDO에서 사용자 ID를 '-1' 또는 '4294967295'로 설정하는 것으로 악용할 수 있다. 해당 취약점은 최신 버전인 1.8.28을 제외한 모든 SUDO에 내포되어, SUDO가 사용되는 리눅스 시스템은 가급적 빠르게 최신 버전으로 업데이트해야 한다.

이 기사의 의견 보기

ㅇㅇ / 19-10-17 9:49/ 신고

-On Mobile Mode -
어제 확인해봤는데 이미 해커가 수도권한을 획득한 적이 있고, 백도어로 uid가 -1인 유저를 만드는 경우에 문제가 있습니다. uid가 -1인 유저가 생긴적이 있는지와 sudoer 정책을 확인해주면 될거 같습니다.

닉네임

비회원

보드나라 많이 본 뉴스

AI 열풍에 판도 변화, 인텔 스크랩 CPU로 수익 개선

대역폭 확대 중점, HBM 대체 목표 인텔 HB3DM 6월 데모 공개

노바 레이크용 인텔 Z970 칩셋, 강화된 B860 대체 포지션?

보드나라 많이 본 기사

DDR4용 CPU 구하기 더 힘들어진다?, 인텔이 14세대 CPU 공급을 줄이는 이유는?

더 많고 빠른 장비 대응을 위한 와이파이 7 공유기, ipTIME BE19000QCA

반가운 봄 손님 코어 울트라 5 250K(F) Plus,가성비 좋아진 PC 구성은 이렇게?

보드나라 최신 기사

[10/16] 프로젝터매니아, ‘MW642ST 구매 시 풀HD 미니빔 무료 증정’

[10/16] ipTIME, 블루투스 6.0 지원 초소형 USB 동글 'ipTIME BT60XR' 출시

[10/16] 앱코, 신제품 저소음 멤브레인 키보드 ‘AMK108’ 쿠팡 단독 사전 예약 진행

[10/16] 에스라이즈, 가정의 달 맞이, 11번가 그랜드십일절에서 만나는 2026 ASUS 신제품&인기 노트북 특가 혜택!

[10/16] 인텔리시스, 컨슈머인사이트, 서울대와 '디지털 트윈 패널' 공동 개발 MOU 체결

[10/16] 에스라이즈, 11번가 ‘그랜드 십일절’서 HP 인기 노트북 라인업 한자리에

[10/16] 로지텍, LIGHTSPEED 무선 게이밍 마우스 ‘PRO X SUPERLIGHT 2 Cyan’ 출시

[10/16] 넷마블 <왕좌의 게임: 킹스로드>, 5월 8일 닉네임 선점 이벤트 진행

[10/16] 넥슨, ‘카트라이더 러쉬플러스’ 6주년 기념 업데이트 및 이벤트 실시

[10/16] 보기 어려운 독특한 구성으로 차별화, MAXSUN 아이크래프트 Z890 퍼시픽 디앤디컴

[10/16] 넥슨네트웍스, 게임 서비스 및 QA 부문 채용연계형 인턴 모집

[10/16] 라이엇 게임즈, 전국 TFT 아마추어 토너먼트 결승전 예고

[10/16] 벤큐, 가정의 달 맞이 모니터 마우스 구매 고객 대상 ‘포토후기 이벤트’ 진행

[10/16] 넥슨, 코딩 과학 만화 ‘헬로메이플’ 연계 신규 월드 3종 출시

[10/16] 넥슨, ‘서든어택’ 스피드 웨폰챌린지 신규 전장 ‘고궁’ 업데이트

[10/16] Kite AI, AI 에이전트 결제 인프라 ‘카이트 메인넷’ 출시

[10/16] 아마존, 인천서 '아마존 커뮤니티 콜라보레이터 데이' 첫 개최

[10/16] 캐논코리아, MZ세대 취향 저격한 ‘셀피 조구만 패키지’ 출시

[10/16] 오픈AI, 무신사 CTO 테크 인플루언서와 ‘코덱스 기업 적용 사례’ 공유

[10/16] 라이엇 게임즈, 발로란트 ‘PC방 VAL조각 이벤트’ 진행

로그인 | 이 페이지의 PC버전