Mesmo no Debian, existem muitos pacotes que não recebem atualizações de segurança regulares. Do canal de segurança do Debian no OFTC IRC:
A equipe de segurança fornece suporte para todos os pacotes, com a ajuda dos mantenedores de pacotes (e desenvolvedores upstream).
A partir da discussão geral, podemos supor que grandes quebras de segurança chamam sua atenção, mas obviamente existe um limite para a gravidade.
Das FAQs sobre Segurança da Debian para a questão "Como a segurança é tratada no Debian?":
Quando a equipe de segurança recebe uma notificação de um incidente, um ou mais membros a analisam e consideram seu impacto na versão estável do Debian (ou seja, se é vulnerável ou não). Se o nosso sistema é vulnerável, trabalhamos para corrigir o problema. O mantenedor do pacote também é contatado, caso não tenha contatado a equipe de segurança. Finalmente, a correção é testada e novos pacotes são preparados, que são então compilados em todas as arquiteturas estáveis e carregados posteriormente. Depois de tudo feito, um aviso é publicado.
No entanto, o ponto de consideração é que a equipe de segurança não será fluente em todos os pacotes e contará com o suporte dos mantenedores de pacotes e desenvolvedores de desenvolvimento, bem como para resolver problemas.
Após uma discussão mais aprofundada no canal IRC do Debian Security, foi dito que minha análise aqui resume bem a situação:
A equipe de segurança do Debian fornece suporte para todos com a ajuda de mantenedores de pacotes e upstream, mas eles não corrigem pessoalmente tudo.
- teward
O Ubuntu não é diferente, exceto que a comunidade suporta 'universo'. Os pacotes Universe não são ativamente mantidos pelo Ubuntu Security Team, e as correções de segurança para esses pacotes são fornecidas pela comunidade (com algumas exceções, como o pacote nginx que quase exclusivamente eu forneço patches para o Ubuntu Security Team). Embora você não tenha nenhuma garantia de atualizações para esses pacotes, muitos dos populares terão atenção suficiente para geralmente ter alguém trabalhando para tentar corrigir problemas de segurança.
Para responder especificamente, no entanto, é necessário fornecer as listas de pacotes que você está curioso, mas não neste site, pois isso se torna um conjunto interminável de perguntas e respostas.
Para responder verdadeiramente à pergunta de 'sistema vulnerável' é impossível no âmbito deste site, porque enquanto existem 'salvaguardas' você pode tomar para mitigar alguns dos softwares não corrigidos devido à natureza desses pacotes, analisando sua casos de uso e determinação de mitigação para cada coisa também estão fora do escopo deste site e da capacidade de responder dentro das restrições estabelecidas aqui.