[erledigt] Debian Bullseye Wayland Sicherheitslücke - Wie kommen die unterschiedlichen Einschätzungen zustande?

[OrangeJuice]

Ich wunder mich manchmal, wieso bestimmte Sicherheitslücken von den unterschiedlichen Distributionen so unterschiedlich bewertet werden.

Die Lücke ist offen und wird mit " low-priority security issue in bullseye " angegeben.

1 low-priority security issue in bullseye low

There is 1 open security issue in bullseye.
1 issue left for the package maintainer to handle:

CVE-2021-3782: (needs triaging) An internal reference count is held on the buffer pool, incremented every time a new buffer is created from the pool. The reference count is maintained as an int; on LP64 systems this can cause the reference count to overflow if the client creates a large number of wl_shm buffer objects, or if it can coerce the server to create a large number of external references to the buffer storage. With the reference count overflowing, a use-after-free can be constructed on the wl_shm_pool tracking structure, where values may be incremented or decremented; it may also be possible to construct a limited oracle to leak 4 bytes of server-side memory to the attacking client at a tim
Quelle

Hier (nvd.nist.gov) wird sie mit "9.8 CRITICAL" und hier(ubuntu.com) auch amgegeben. Fedora und OpenSUSE habe auch eine andere Einschätzung als Debian gehabt. Ubuntu gibt "Attack vector Network" an.

Wie kommt es zu so einer Entscheidung, ist der Fehler für Debian Bullseye wirklich nicht so relevant und darum wurde ein "Low" daraus? Weiß jemand dazu genaueres(wie das abläuft)?

[TRex]

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator kann ich als einziges halbwegs objektives System nennen. Das kriegst du auch, wenn du bei dem nist.gov-Link von dir auf den Score klickst. Network, Low Complexity, kein Auth... reicht mir schon für nicht-low. Da steht aber auch low priority, nicht low security.

[wanne]

Hier (nvd.nist.gov) wird sie mit "9.8 CRITICAL" und hier(ubuntu.com) auch amgegeben.

Ubuntu gibt als Priorität als medium an. Debian wartet noch auf die DSA Bewertung
Zuerst mal hängt der CVE/DSA Score hängen davon ab, wie gefährlich die Lücke ist, und wie einfach sie auszunutzen ist. Für die Priorität wird das nur in zweiter Linie in Betracht. In erster Linie sehen die jede nicht ganz harmlose Sicherheitslücke als fixwürdig und entscheidet hauptsächlich daran, wie relevant das für die Debian oder Ubuntu-Nutzer ist, wie schnell das passiert. (Vor allem Bugs, die nur auf unoffiziellen Architekturen und oder testing vorhanden sind, laufen mit niedriger Priorität. Daneben wird darauf geachtet, ob das bei Defaulteinstellungen der Fall ist.)

Das ist grundsätzlich. Im Speziellen sehe ich aber nicht so wirklich, woran es hängt.

* Wenn ich das richtig sehe ist der Bug für 1.20 gestellt. Ob das in älteren Versionen relevant ist, kann ich nicht finden. Ich glaube aber schon. Könnte mir vorstellen, dass er bei Debian deswegen auf low-Priority gesetzt wurde. 1.20+ gibt es nur unter Testing.
* Bei Debian ist ein wayland-Desktop deafault. Bei Ubuntu glaube ich nicht. (DM ist unberührt.)
* Wie man bei Shared memory in Wayland auf "Attack vector Network" kommt, ist mir schleierhaft. Selbst mit waypipe ist das ja ein lokal angemeldeter Nutzer. Außerdem dürfte der Bug dann nicht mehr tun. Sonst wäre ja jeder Angriff einer übers Netzwerk. Könnte mir vorstellen, dass das wegen X11 bei grafischen Oberflächen einfach immer gemacht wird.
* Da man zum ausnutzen 416GiB virtuellen Speicher braucht ist er eventuell nicht so relevant. Die meisten Desktopsysteme werden nicht so viel RAM haben und auf Clustern läuft kein Wayland. Das ist aber eine Sache des CVE-Scores. Nicht der Debian-Priorität.
* Das funktioniert nur auf wenigen Architekturen. i386 x32 und AARACH64 sind raus. Aber das für derartig riesige Systeme super relevante amd64 ist glaube ich betroffen.
Der Compositor (Das was unter X11 der Window-Manager war) kann und sollte das abfangen, weil durchaus auch eine DOS ist derartig viel Speicher zu allozieren. Eventuell tut GNOME das. Das könnte ein Grund für den kleinen Score bei Debian sein.

Alles viel Spekulation, ohne wissen. Wahrscheinlich fehlen den Maintainern selbst die Infos um richtig einzuschätzen und sie haben deswegen so unterschiedlich reagiert.

[OrangeJuice]

Eine Dank an euch für die Einschätzung und Erklärung.