Здравствуйте, bzig, Вы писали:

B>Они их "Медиум" пометили

Critical выдаются только Remote Code Execution, или если атака очень простая и при этом очень широкая (как DirtyCow).
Локальные баги обычно меньше очков получают.
А Information Disclosure ещё меньше.

Кстати.

Баги в ядре линукса раньше всегда помечались максимум как Denial of Service.
С большим скрипом заставили разработчиков ядра писать реальные статусы, Local Privilege Escalation, и даже Remote Code Execution.
Но они жутко этого не любят. И всеми силами стараются закрыть баг как малозначимый. Какими-нибудь не сильно информативным описанием, очень часто даже без CVE.

Из-за чего security исправление запросто может не попасть в конкретный дистрибутив, особенно в старый (backport). Так и оставшись только в mainline. Его просто не заметят.