A resposta curta é sim, você deve manter seus sistemas atualizados em relação aos patches de segurança.
Como exatamente você implementa os patches de segurança depende da sua tolerância ao risco. Aqui estão algumas opções que usei para responder a essa pergunta no passado:
-
Aplique as atualizações a um conjunto de sistemas de controle de qualidade que imitam seu ambiente de produção e execute todos os seus testes de regressão para garantir que as alterações não interrompam nenhuma funcionalidade nem causem problemas de desempenho. Quando estiver satisfeito, implemente as atualizações em seus sistemas de produção.
-
Espere um dia e veja se há um clamor público sobre os problemas causados pelas atualizações. Se tudo parece pacífico, atualize seus sistemas de produção.
-
Aplique todos os patches de segurança em seus sistemas de produção assim que estiverem disponíveis.
Eu usei uma combinação de todas essas três abordagens usando o Ubuntu e gradualmente passei para a opção 3 ao longo dos anos. Os patches de segurança são altamente testados antes de serem lançados e muito cuidado é tomado para não quebrar a funcionalidade existente. Eu nunca tive um problema ao atualizar dentro das imagens suportadas pelo Ubuntu (embora eu tenha tido um problema anos atrás quando eu estava usando um kernel não-Ubuntu com o Ubuntu no EC2).
Observe que a atualização do kernel também requer uma reinicialização para aplicar as alterações.
A experiência e as recomendações acima aplicam-se apenas à atualização dentro de uma versão do Ubuntu (por exemplo, 11.04). Atualizar para um novo lançamento do Ubuntu é uma tarefa muito maior e mais arriscada e definitivamente requer testes antes de implementá-lo em seus sistemas de produção.
Veja um artigo sobre esse tópico que acabou de ser publicado pela RightScale sobre como gerenciar atualizações de segurança em seu ambiente: