Pacotes são corrigidos. Patches são feitos principalmente de upstream, às vezes são feitos pela Canonical.
Quase toda semana, às vezes com mais frequência, o Ubuntu recebe atualizações de segurança para alguns pacotes.
As versões do Ubuntu LTS têm data de EOL de 5 anos após o lançamento. Não parece pacotes são atualizados para versões mais recentes.
Isso significa que os pacotes são corrigidos para CVEs por 5 anos?
De onde são originados os patches para esses pacotes?
Pacotes são corrigidos. Patches são feitos principalmente de upstream, às vezes são feitos pela Canonical.
Quase toda semana, às vezes com mais frequência, o Ubuntu recebe atualizações de segurança para alguns pacotes.