Não, isso não acontece. Se não estiver em execução, é apenas um arquivo no sistema de arquivos. Se um invasor conseguir reiniciar seu sistema com esse kernel, ele já terá controle total sobre o sistema.
Eu tenho meus servidores RHEL 5 e 6 configurados para manter 1 kernel antigo após as atualizações. Eu faço isso no caso de precisar recuperar o sistema por vários motivos. Minha pergunta está relacionada à segurança do sistema quando rodando com o kernel mais atual, mas ainda tendo uma cópia do antigo kernel instalado. Quando eu os examino com o Retina, eu sempre recebo acessos para o kernel antigo, mas o sistema está rodando com o mais atual. Eu acho que o Retina está apenas verificando a presença do kernel no sistema e não determinando se é o kernel atual em execução. Minha pergunta é se a simples presença do kernel antigo no sistema constitui um problema de segurança? Alguma idéia?