Esta resposta é uma combinação das duas respostas que o autor original disse que as ajudou. Eles respondem a ambas as partes das perguntas feitas pelo consulente. Essa resposta foi criada para que eles pudessem aceitar uma resposta com as duas partes.
"CVE" significa "Vulnerabilidades e Exposições Comuns". É um padrão da indústria para a notação, especialmente para a nomenclatura, de vulnerabilidades de segurança. A lista de CVEs é mantida pela MITRE Corporation. Esta empresa sem fins lucrativos foi ramificada do Instituto de Tecnologia de Massachusetts (MIT) como um serviço para instituições de pesquisa dos EUA. Para mais informações, consulte CVE e MITER Corporation na Wikipedia.
(originalmente por Henning Kockerbeck )
Correções para CVEs são ou fixas pelo desenvolvedor de um determinado programa e, em seguida, são SRU (Stable Release Update) ou carregadas para o último lançamento de desenvolvimento do Ubuntu pelos desenvolvedores do programa upstream, o Ubuntu Security Equipe, ou são enviados quando patrocinados por um membro da equipe de segurança se a comunidade ajudou a desenvolver o patch para o pacote.
Para programas que estão no Main e mantidos pelos desenvolvedores da Canonical, o Ubuntu Security Team normalmente atualiza um pacote e o coloca no repositório RELEASE-security (onde RELEASE é preciso, quantal, raring, etc. ).
Para programas que estão no Universo, eles normalmente são mantidos na comunidade e qualquer um na comunidade pode preparar um SRU ou um patch para incluir as correções do CVE. Essas correções são então patrocinadas pela Equipe de Segurança para upload e inclusão no Ubuntu.
(originalmente por Thomas W. )