간단 조작으로 루트권한 획득, 리눅스 SUDO 보안 취약점 발견

2019-10-16 12:57
이상호 기자 ghostlee@bodnara.co.kr

리눅스와 유닉스 기반 운영체제의 핵심 명령을 활용한 SUDO 유틸리티서 취약점이 발견되어 관련 시스템 점검이 요구된다.

해당 취약점은 악의적인 사용자나 프로그램이 'sudoers configuration'이 루트 액세스를 명시적으로 허용하지 않는 경우에도 대상 Linux 시스템에서 루트권한으로 임의의 명령을 실행할수 있는 sudo 보안 정책 우회 문제다.

'superuser do'의 약자인 SUDO는 사용자가 환경을 전환하지 않고 다른 사용자의 권한으로 응용 프로그램 또는 명령을 실행할 수있게하는 시스템 명령으로, 대부분 루트 사용자로 명령을 실행하기 위해 이용된다.

관련 소식을 전한 hackernews에 따르면, 대부분의 Linux 배포판에는 기본적으로 /etc/sudoers 파일의 RunAs 사양에 모든 키워드가 관리자 또는 sudo 그룹의 모든 사용자가 시스템에서 어떤한 유효 사용자로 명령을 실행할 수 있도록 설정되어 있다.

따라서, 해당 취약점을 악용될 경우 공격자가 보안 정책을 우회하고 루트권한으로 완전히 제어 할 수 있으며, SUDO에서 사용자 ID를 '-1' 또는 '4294967295'로 설정하는 것으로 악용할 수 있다. 해당 취약점은 최신 버전인 1.8.28을 제외한 모든 SUDO에 내포되어, SUDO가 사용되는 리눅스 시스템은 가급적 빠르게 최신 버전으로 업데이트해야 한다.

이 기사의 의견 보기

ㅇㅇ / 19-10-17 9:49/ 신고

-On Mobile Mode -
어제 확인해봤는데 이미 해커가 수도권한을 획득한 적이 있고, 백도어로 uid가 -1인 유저를 만드는 경우에 문제가 있습니다. uid가 -1인 유저가 생긴적이 있는지와 sudoer 정책을 확인해주면 될거 같습니다.

닉네임

비회원

보드나라 많이 본 뉴스

파이슨 CEO, 메모리 부족 상황에 저가 업체 도산 가능성 지적

아크 A 시리즈도 OK, 인텔 XeSS MFG 지원 확대 드라이버 배포

애플, 중국 CXMT 및 YMTC와 메모리 공급 협력 검토?

보드나라 많이 본 기사

오늘의 AMD는 한 단계 더 진화한다, AMD 라이젠 7 9850X3D

성능과 튜닝 잡은 실속있는 타워형 쿨러,ALSEYE Q120S Plus

보드나라 최신 기사

[10/16] 삼성전자 갤럭시 S26 시리즈 최대 42만원 가격 인상?

[10/16] 데스 스트랜딩 2 PC 요구 사양 공개, 전작 대비 요구사양 대폭 증가

[10/16] 디앤디컴, 게인워드 지포스 RTX 5070 파이썬 III OC 국내 공식 출시

[10/16] 수랭 감성 연장 케이블, 마이크로닉스 EZDIY-FAB UNIFAS ARGB 튜빙 케이블 출시

[10/16] '픽업트럭의 제왕' 램(Ram), 차봇모터스와 손잡고 한국 상륙... 4월 '램 1500' 출시

[10/16] 스포티파이, 대학생 위한 프리미엄 학생 요금제 출시

[10/16] 공간 통합 인텔리전스 글로벌 1위 기업 ‘벤터(Vantor)‘, 드론쇼코리아에서 GPS 무력화 환경 대응 시스템 ‘랩터’ 공개

[10/16] HPE, MWC 2026서 통신·서비스 혁신 가속화할 AI 인프라 발표

[10/16] 레드햇, ‘레드햇 AI 팩토리 위드 엔비디아’ 공개… 확장 가능한 프로덕션 AI 구현 가속화

[10/16] 세일즈포스 ‘데이터 및 분석 현황 보고서’ 발표, 한국 기업 61%는 활용에 난항

[10/16] 서린씨앤아이, 아틱 쿨링팬 P12 Pro Reverse PST 3팩 정식 출시

[10/16] 정우마루, 유니버셜리얼타임과 'AI 기반 합성데이터 연계 API 플랫폼' 개발

[10/16] AMD와 메타, 6기가와트 규모의 AMD 인스팅트 GPU 도입을 위한 전략적 파트너십 확대 발표

[10/16] 넷마블 <왕좌의 게임: 킹스로드>, 오늘(24일)부터 PC 모바일 사전등록 개시

[10/16] 넥슨, ‘아주르 프로밀리아’ 신규 지역 및 캐릭터 등 주요 정보 공개

[10/16] 넷마블, 오픈월드 RPG 신작 <일곱 개의 대죄: Origin> 론칭 PV 공개

[10/16] 니콘이미징코리아, 망원 줌 렌즈 ‘NIKKOR Z 70-200mm f/2.8 VR S II’ 발표

[10/16] 씨큐비스타, '2026 파트너스데이' 개최

[10/16] 컴투스, ‘컴프야V 페스타’ 개최..개막 앞두고 유저 축제 마련

[10/16] 캐논, 전 세계 및 국내 렌즈교환식 카메라 시장 23년 연속 1위 달성

로그인 | 이 페이지의 PC버전