As distribuições do Enterprise Linux lidam com isso retornando as correções de segurança da nova versão para a versão original na qual sua distribuição está bloqueada. Você instala os pacotes de sistema atualizados que contêm as correções de segurança portadas e observe isso em seu relatório para o fornecedor de conformidade.
Cada relatório que você recebe de uma potencial vulnerabilidade de segurança deve incluir um número CVE. Procure este número em Comunicados de Segurança do Ubuntu (veja também Red Hat CVE para RHEL / CentOS) para determinar as atualizações que seu sistema precisa.
Como uma nota lateral, se você estiver executando um site baseado em PHP, você frequentemente deseja atualizações correção de bugs além de correções de segurança. As distribuições quase nunca distribuem atualizações de correção de bugs, a menos que causem falhas ou problemas de segurança, e às vezes nem assim. Neste caso, é mais prudente usar um PPA que rastreie sua versão do PHP desejada (por exemplo, 5.3 ou 5.4) em vez dos pacotes do sistema.