CVE-2019-0155 및 CVE-2019-0154-i915 그래픽 드라이버 취약점

개요

Red Hat은 i915 그래픽 하드웨어의 두 가지 취약점에 대해 인지하고 있으며 이에는 Linux 커널 업데이트가 필요합니다. 이 취약점은 i915 기반 GPU가 내장된 Intel 프로세서를 사용하는 x86-64 시스템의 일부에만 적용됩니다.

첫 번째 문제는 CVE-2019-0155로 지정되어 있으며 중요 보안 영향 등급으로 분류되어 있습니다. 이는 로컬 공격자가 기존 메모리 보안 제한을 우회할 수 있는 문제로 이로 인해 액세스 권한이 없는 메모리에 쓰기 액세스가 허용됩니다.

두 번째 문제는 CVE-2019-0154로 지정되어 있으며 보통 보안 영향 등급으로 분류되어 있습니다. 이는 권한이 없는 로컬 공격자가 GPU가 저전력 모드일 때 잘못된 상태를 만들 수 있는 문제로 이로 인해 시스템에 액세스할 수 없게 되고 시스템을 다시 시작하여 정상적인 작동을 재개해야 합니다.

배경

i915 커널 코드는 Intel이 많은 제품에서 제공하는 온다이(on-die) CPU/GPU 조합의 다양한 칩을 대상으로 합니다. 이 드라이버는 Pentium 4 프로세서 이상 널리 사용되는 제품의 라이프 사이클을 통해 다양한 수준으로 기능이 향상되었습니다.

영향을 받는 GPU는 외부 PCI-E 카드가 아니라 온다이 CPU 구성 요소입니다. 이 그래픽 카드에는 출력 장치에 물리적 연결 메커니즘을 제공하는 마더 보드 지원이 필요합니다.

이러한 결함은 모든 i915 기반 하드웨어에 영향을 미치지는 않습니다. 아래의 취약점 여부 확인 섹션을 참조하여 시스템에 영향을 미치는지 확인하십시오.

취약성 여부 확인

• 이 하드웨어는 i915 커널 모듈에서만 사용할 수 있습니다. 다른 그래픽 카드는 영향을 받지 않습니다. lsmod 명령을 실행하면 i915 커널 모듈이 사용 중인지 확인할 수 있습니다.

$ lsmod | grep ^i915
i915                2248704  10

lsmod 명령이 i915로 시작하는 행을 반환하는 경우 단계를 계속 진행하십시오. 그렇지 않으면 이 문제의 영향을 받지 않습니다.

• 시스템에서 제공하는 CPU 모델을 검색하십시오. 다음은 "Intel Core i7-7600U"의 예입니다.

$ cat /proc/cpuinfo |grep "model name" |head -n 1
model name    : Intel(R) Core(TM) i7-7600U CPU @ 2.80GHz

• Intel의 설명서에서 하드웨어 생성을 확인합니다 ( Intel의 Processor number identification guide 참조)

• 프로세서 “Brand” 및 “Generation identifier”를 다음의 영향을 받는 설정 목록과 비교하십시오.

영향을 받는 설정

CVE-2019-0154의 영향을 받는 시스템은 다음과 같습니다.

• Red Hat Enterprise Linux 6 (kernel-2.6.32-612.el6 이상)
• Red Hat Enterprise Linux 7 ( kernel-3.10.0-422.el7 이상)
• Red Hat Enterprise Linux 8

Red Hat Enterprise Linux 7.2 (및 z streams) 및 이전 버전은 기본적으로 영향을 받지 않으며 커널 매개 변수 i915.preliminary_hw_support=1로 시스템을 부팅하는 경우에만 영향을 받습니다. 이 매개 변수는 기본적으로 활성화되어 있지 않습니다.

하드웨어에서 실행 :

• Ivy Bridge (Intel Core Generation 7 CPUs) 이상
• Cherry Trail (Intel Core Generation 8 CPUs) 이상
• Intel XEON E3-1200 이상 제품군

CVE-2019-0155의 영향을 받는 시스템은 다음과 같습니다.

• Red Hat Enterprise Linux 7 ( kernel-3.10.0-422.el7 이상)
• Red Hat Enterprise Linux 8

하드웨어에서 실행 :

• Sky Lake 및 Apollo Lake (Intel Core Generation 9 CPUS) 이상
• Intel Xeon Processor (E3-1500 v5) 제품군

동일한 제품군에 위에 나열된 칩셋보다 오래된 칩셋이 포함된 시스템은 영향을 받지 않습니다. 다른 그래픽 카드 공급 업체는이 문제의 영향을 받지 않습니다.

해결 방법

업데이트 대상이 되는 모든 Red Hat Enterprise Linux 릴리스에 대해 이 문제를 해결하기 위한 커널 업데이트가 릴리스될 예정입니다.

감사 인사

Red Hat은 이 보안 취약점을 보고해 주신 Intel 및 해당 업계 파트너에게 감사의 말씀을 전합니다.

자주하는 질문

Q : 커널 모듈을 블랙리스트에 올리면 문제를 완화시킬 수 있습니까?

A : i915 커널 모듈을 로드하지 않도록 하면 공격자는 시스템에서 이 취약점을 악용할 수 없지만 카드의 전원 관리 기능이 비활성화되기 때문에 시스템의 소비 전력이 증가할 수 있습니다. 커널 모듈을 비활성화하는 방법에 대한 자세한 내용은 How do I blacklist a kernel module to prevent it from loading automatically?에서 참조하십시오. 그래픽 디스플레이의 해상도가 낮아 지거나 제대로 작동하지 않을 수 있습니다. 그래픽 도구를 로컬로 실행해야하는 경우 이 완화 방법이 적합하지 않을 수 있습니다.

추가 정보

Intel 그래픽 처리 장치 목록
Intel 프로세서 번호
Intel-SA-00242 - CVE-2019-0155
Intel-SA-00260 - CVE-2019-0154