상세 컨텐츠

본문 제목

Sudo 권한 획득 취약점CVE-2021-3156(Baron Samedit)

IT 보안/이슈·동향

by 신시웨이 공식 블로그 2021. 1. 29. 13:32

본문

이번에 발견된 취약점 CVE-2021-3156(Baron Samedit)는 명령어를 전달하는 구문 분석 방식에서 힙 기반 버퍼 오버플로우가 되는 현상으로 이 취약점으로 인해 모든 로컬 사용자가 인증 없이도 루트 권한을 얻을 수 있기 때문에 이 취약점을 악용하면 권한 상승으로 인한 테이터 기밀성, 무결성 및 시스템 가용성에 대한 문제가 발생 할 수 있습니다.

Red Hat Product Security에서는 취약점을 중요 등급으로 분류 하였고 영향을 받는 사용자들은 최신 버전의 sudo 업그레이드할 것을 권고 하였습니다.

Sudo 명령어는 유닉스  유닉스 계열 운영 체제에서, 다른 사용자의 보안 권한, 보통 슈퍼유저로서 프로그램을 구동할 수 있도록 하는 프로그램이다명칭은 본래 슈퍼유저로서의 실행에 사용되던 것에서 “superuser do”에서 유래하였으나, 후에 프로그램의 기능이 확장되며 “substitute user do”(다른 사용자의 권한으로 실행)의 줄임말로 해석되게 되었다. 기본적으로 Sudo는 사용자 비밀번호를 요구하지만 루트 비밀번호(root password)가 필요할 수도 있고, 한 터미널에 한번만 입력하고 그 다음부터는 비밀번호가 필요 없다.

(출처:위키피디아 sodu, https://ko.wikipedia.org/wiki/Sudo)

 

이번 sudo 권한 상승 취약점은 Qualys 연구원들이 발견 하였고, 이번 취약점은 약 10년동안 잠재되어 있었으며, 1.8.2 ~ 1.8.31p2까지의 All legacy versions , 1.9.0 ~ 1.9.5p1까지의 모든 All stable versions에서 취약 하다고 밝혔습니다.

(Stable Version은 최종 버전 중에서 테스트가 완료되고 버그가 수정된 안정된 버전을 말하며, Legacy Version은 아직 사용이 가능한 과거 버전을 말한다. 최신 버전에서 새로 생긴 기능들은 제공되지 않지만 아직까지 사용하는데 문제가 없는 버전 말합니다.)

 

시스템 취약 여부 확인 방법

Root가 아닌 일반 사용자로 시스템 로그인
"sudoedit -s /" 명령 실행
   * 시스템이 취약한 경우 "sudoedit :"로 시작하는 오류로 응답합니다.
   * 시스템이 패치 된 경우 "usage :"로 시작하는 오류로 응답합니다.

출처 및 참고 자료
RedHat Customer Portal(https://access.redhat.com/security/vulnerabilities/RHSB-2021-002)
Qualys (blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit)
CVE (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3156)

기획. 프리세일즈·마케팅팀 | 박병민

관련글 더보기