De acordo com a página do Ubuntu Security , o linuxprojeto em Bionic e Focal tem o status de "Needed". Estou assumindo que este projeto se refere ao linux-genericrepositório APT, então linuxdeve ser 4.15 em Bionic e 5.4 em Focal. Também fiz um breve teste no Ubuntu Focal com linux-image-5.4.0-100-generic(amd64) e não consegui explorar. Assim, suponho que Bionic em 4.15 também não seja afetado.
Então, por que ainda é mostrado como "Necessário" para Bionic e Focal?
Obrigado à equipe de segurança do Ubuntu por fornecer clareza sobre isso, que por sua vez me forneceu as informações necessárias para responder a você.
Nesse caso, "Needed" significa que ainda não foi corrigido nos kernels Bionic ou Focal. De acordo com Marc Deslauriers via #ubuntu-security no IRC:
Portanto, embora o Bionic e o Focal sejam 'afetados' pelo CVE, isso ainda não é explorável e será corrigido na próxima rodada de atualizações do kernel no Bionic e no Focal, caso alguém encontre outra maneira de explorar a falha nesses kernels.