간단 조작으로 루트권한 획득, 리눅스 SUDO 보안 취약점 발견

2019-10-16 12:57
이상호 기자 ghostlee@bodnara.co.kr

리눅스와 유닉스 기반 운영체제의 핵심 명령을 활용한 SUDO 유틸리티서 취약점이 발견되어 관련 시스템 점검이 요구된다.

해당 취약점은 악의적인 사용자나 프로그램이 'sudoers configuration'이 루트 액세스를 명시적으로 허용하지 않는 경우에도 대상 Linux 시스템에서 루트권한으로 임의의 명령을 실행할수 있는 sudo 보안 정책 우회 문제다.

'superuser do'의 약자인 SUDO는 사용자가 환경을 전환하지 않고 다른 사용자의 권한으로 응용 프로그램 또는 명령을 실행할 수있게하는 시스템 명령으로, 대부분 루트 사용자로 명령을 실행하기 위해 이용된다.

관련 소식을 전한 hackernews에 따르면, 대부분의 Linux 배포판에는 기본적으로 /etc/sudoers 파일의 RunAs 사양에 모든 키워드가 관리자 또는 sudo 그룹의 모든 사용자가 시스템에서 어떤한 유효 사용자로 명령을 실행할 수 있도록 설정되어 있다.

따라서, 해당 취약점을 악용될 경우 공격자가 보안 정책을 우회하고 루트권한으로 완전히 제어 할 수 있으며, SUDO에서 사용자 ID를 '-1' 또는 '4294967295'로 설정하는 것으로 악용할 수 있다. 해당 취약점은 최신 버전인 1.8.28을 제외한 모든 SUDO에 내포되어, SUDO가 사용되는 리눅스 시스템은 가급적 빠르게 최신 버전으로 업데이트해야 한다.

이 기사의 의견 보기

ㅇㅇ / 19-10-17 9:49/ 신고

-On Mobile Mode -
어제 확인해봤는데 이미 해커가 수도권한을 획득한 적이 있고, 백도어로 uid가 -1인 유저를 만드는 경우에 문제가 있습니다. uid가 -1인 유저가 생긴적이 있는지와 sudoer 정책을 확인해주면 될거 같습니다.

닉네임

비회원

보드나라 많이 본 뉴스

펄어비스, 인텔 아크 그래픽 카드 사용자에 붉은사막 구매자 환불 권유

엔비디아 지포스 게임 레디 드라이버 595.97 버전 배포

펄어비스, 붉은 사막에 인텔 아크 그래픽 카드 지원으로 입장 선회

보드나라 많이 본 기사

2월 DDR5 메모리 고점대비 30% 하락, 안정화의 신호탄인가 잠깐의 조정인가? [메모리 가격 폭등 6부]

인텔 메인스트림 CPU의 왕위 계승, 코어 울트라 7 270K Plus

M5 시리즈로 업그레이드, 애플 신형 맥북과 스튜디오 디스플레이 시리즈 발표

보드나라 최신 기사

[10/16] HP, G마켓 ‘랜더스 쇼핑페스타’서 오멘 16 빅터스 15 게이밍 노트북 특가 선봬

[10/16] 넷마블문화재단, ‘2026 넷마블창문프로젝트’ 진행.. 초등학생 대상 AI 기술 융합 교육 지원

[10/16] 선익시스템, Micro OLED 증착장비 추가 수주.. OLEDoS 투자 확대 본격화

[10/16] 넥슨, ‘더 파이널스’ 시즌10 ‘판타지 리그’ 대규모 업데이트 실시!

[10/16] PC 여름 나기 위한 고성능 써멀 그리스,ALSEYE T12

[10/16] ipTIME, 2.5Gbps 속도 지원 30포트 스위칭 허브 ‘ipTIME HG25024T6’ 출시

[10/16] 컴투스 ‘아이모’, 20주년 축제의 서막.. 업데이트 시리즈 1탄 공개

[10/16] BYD 프리미엄 브랜드 DENZA, 다니엘 크레이그와 글로벌 캠페인 전개

[10/16] DJI, DJI Avata 360 출시.. 몰입감 넘치는 360 FPV 비행의 새로운 기준 제시

[10/16] 아스크텍, 글로벌 스토리지 솔루션 브랜드인 OSCOO와 공식 유통 계약

[10/16] 넥슨, ‘마비노기 모바일’ 1주년 업데이트 실시

[10/16] 넷마블, 신작 <SOL: enchant> 배우 현빈 광고 영상 본편 공개

[10/16] ‘승리의 여신: 니케’, 제2회 한국 오케스트라 콘서트 개최!

[10/16] 애플 워크스테이션 맥 프로 단종, 맥 생태계 일관성과 라인업 단순화 전략?

[10/16] 스틸시리즈, ‘아크티스 노바 엘리트’ 무선 게이밍 헤드셋 ‘롤링스톤 2025 오디오 어워즈’ 수상

[10/16] 인텔 코어 울트라 9 290K Plus와 스페셜 모델 출시 계획 없다

[10/16] 2K, ‘보더랜드4’ 스토리 팩 1 ‘매드 엘리와 저주받은 볼트’ 정식 출시!

[10/16] 밸로프, 리듬게임 '알투비트' 복귀 이벤트 및 편의성 업데이트 실시

[10/16] 플라이웨이게임즈, ‘어센드투제로’ 7월 13일 글로벌 출시

[10/16] 듀얼 CCD 3D V-Cache CPU, AMD 라이젠 9 9950X3D2 듀얼 에디션 정식 발표

로그인 | 이 페이지의 PC버전