CVE-2019-0155 および CVE-2019-0154 - i915 グラフィックドライバー
概要
Red Hat は、i915 グラフィックハードウェアの 2 つの不具合について認識しています。これには、Linux カーネルの更新を適用する必要があります。これらの脆弱性は、i915 ベースの GPU が組み込まれた Intel プロセッサーを使用する x86-64 システムのサブセットのみが対象になります。
最初の不具合には CVE-2019-0155 が割り当てられ、「重要な影響」と評価されました。これは、ローカル攻撃者が従来のメモリーセキュリティー制限を回避できる不具合です。これにより、本来はアクセスできない、権限を持つメモリーに書き込みアクセスすることが可能になります。
2 つ目の不具合には CVE-2019-0154 が割り当てられ、「中程度の影響」と評価されました。これは、GPU が低電力モードであるときに、権限のないローカル攻撃者が無効な状態を作成できる不具合です。これにより、システムにアクセスできなくなり、システムを再起動して通常の操作を再開する必要があります。
背景
i915 カーネルコードは、Intel 社が多くの製品で提供するオンダイ型 CPU/GPU の組み合わせのさまざまなチップを対象とします。このドライバーは Pentium 4 プロセッサー以降、広く使用され、製品のライフサイクルを通じてさまざまなレベルの改良が加えられました。
影響を受ける GPU は外部の PCI-E カードではなく、オンダイ型の CPU コンポーネントです。グラフィックカードには、出力デバイスに物理的に接続するためのマザーボードのサポートが必要です。
これらの不具合は、すべての i915 ベースのハードウェアには影響しません。以下の 脆弱性の判断 を参照して、お使いのシステムへの影響を判断してください。
脆弱性の判断
- このハードウェアは、i915 カーネルモジュールでのみ利用可能です。他のグラフィックカードは影響を受けません。lsmod コマンドを実行すると、i915 カーネルモジュールの使用を確認できます。
$ lsmod | grep ^i915
i915 2248704 10
lsmod コマンドが i915 で始まる行を返した場合は、手順を続行してください。その他の場合はこの不具合の影響を受けていません。
- システムによって提供される CPU モデルを検索します。以下は「Intel Core i7-7600U」の例になります。
$ cat /proc/cpuinfo |grep “model name” |head -n 1
model name : Intel(R) Core(TM) i7-7600U CPU @ 2.80GHz
-
Intel の手順でハードウェアの生成を判断します (Intel の Processor number identification guide を参照してください)。
-
プロセッサーの「Brand」および「Generation identifier」を、以下の影響を受ける構成のリストと比較します。
影響を受ける設定
CVE-2019-0154 の影響を受けるシステムは次のとおりです。
- Red Hat Enterprise Linux 6 ( kernel-2.6.32-612.el6 以上)
- Red Hat Enterprise Linux 7 ( kernel-3.10.0-422.el7 以上)
- Red Hat Enterprise Linux 8
デフォルト設定の Red Hat Enterprise Linux 7.2 (および z streams) およびそれ以前のリリースは影響を受けず、カーネルパラメーター i915.preliminary_hw_support=1 を使用してシステムが起動された場合のみ影響を受けます。このパラメーターはデフォルトでは有効になっていません。
ハードウェア上で実行:
- Ivy Bridge (Intel Core Generation 7 CPUs) 以上
- Cherry Trail (Intel Core Generation 8 CPUs) 以上
- Intel XEON E3-1200 以上の製品ファミリー
CVE-2019-0155 の影響を受けるシステムは次のとおりです。
- Red Hat Enterprise Linux 7 (kernel-3.10.0-422.el7 以上)
- Red Hat Enterprise Linux 8
ハードウェア上で実行:
- Sky Lake および Apollo Lake (Intel Core Generation 9 CPUS) 以上
- Intel Xeon Processor (E3-1500 v5) ファミリー
同じファミリーで、上記よりも古いチップセットが含まれるシステムは影響を受けません。他のグラフィックカードベンダーはこの不具合の影響を受けません。
解決策
更新の対象となるすべての Red Hat Enterprise Linux リリースに対して、この問題を解決するカーネル更新がリリースされる予定です。
謝辞
Red Hat はこの問題を報告した Intel 社および業界のパートナーに感謝します。
よくある質問
問: カーネルモジュールをブラックリストに指定すると問題が軽減されますか。
答: i915 カーネルモジュールをロードしないようにすると、攻撃者はシステムに対してこの不具合を悪用できなくなりますが、カードの電源管理機能は無効になるため、システムの消費電力が増加する可能性があります。 カーネルモジュールを無効にする手順は「自動的にロードしないようにカーネルモジュールをブラックリストに登録する」を参照してください。 また、画面の解像度が低くなったり、画面が適切に表示されないこともあります。グラフィックツールをローカルで実行する必要がある場合は、この軽減策は適切でない可能性があります。
追加情報
Intel のグラフィックプロセッシングユニットのリスト (英語)
Intel プロセッサー番号について (英語)
CVE-2019-0155 の Intel-SA-00242 (英語)
CVE-2019-0154 の Intel-SA-00260 (英語)
Comments