Como você já leu, pacotes após serem liberados, serão colocados em estado congelado, mas você ainda terá atualizações para esse pacote em forma de correções de bugs e patches de segurança, o que significa que a equipe do Ubuntu corrigirá os problemas desse pacote sem o necessidade de atualizá-lo para a última versão, você pode usar:
apt changelog pkg-name
para ver o que foi feito na última atualização, por exemplo, aqui está o log de alterações do samba:
samba (2:4.3.11+dfsg-0ubuntu0.16.04.9) xenial-security; urgency=medium
* SECURITY UPDATE: KDC-REP service name impersonation
- debian/patches/CVE-2017-11103.patch: use encrypted service
name rather than unencrypted (and therefore spoofable) version
in heimdal
- CVE-2017-11103
Se você inspecionar os logs de perto, verá a versão deles na mesma versão, mas muitas coisas estão sendo feitas, preste atenção na ATUALIZAÇÃO DE SEGURANÇA e na linha CVE.