yum faz isso através do plug-in yum-security (8) que faz parte do yum (não é necessário instalá-lo separadamente) para o CentOS 7 ( documentos oficiais do RHEL ).
Quando você produz atualizações de meta-informação do repositório de download yum update ... --security yum em /var/lib/<arch>/<repo> . Cada pacote no arquivo de informações meta (organizado como xml file) contém o campo type na tag <update> . Se type=security , em seguida, atualizar é atualização de segurança.
Quando você produz yum update --cve <CVE> ou yum update --bugzilla <bugzilla_id> , então yum analisa a tag <references> para tags <reference> de cada pacote na meta-informação do campo type contém bugzilla . Se você digitou --cve then CVE em comparação com title field de <reference> tag. Se você digitou --bugzilla , então bugzilla_id comparação com id campo de <reference> tag.
O arquivo update_md.py do pacote yum contém a funcionalidade superior descrita:
$ rpm -ql yum|grep update_md
/usr/lib/python2.7/site-packages/yum/update_md.py
P.S. Pacotes Debian (DEB) contém urgency campo em changelogs de pacotes e pode ser útil para atualizações de segurança.