... como explico ao meu auditor de segurança: "Eu sei que não é o última versão, mas não é vulnerável porque um terceiro supostamente corrigido a vulnerabilidade em uma versão de manutenção que é antes de a vulnerabilidade ser originalmente relatada. "?
Isso está certo, no que diz respeito à explicação. Se não faz sentido para você ou auditores de segurança, lamento, mas é assim que a maioria das distribuições Linux (Debian, * buntus, RHEL, CentOS) vem trabalhando há anos. Eu duvido que isso mude logo, então, pode ser que o Ubuntu não seja apenas para você, e você deve olhar para algo como o Arch Linux, o Debian instável, ou outros SOs.
PS: Você pode verificar o que foi corrigido em um pacote no Ubuntu com o seguinte:
apt-get changelog pkgname
Por exemplo, apt-get changelog openssh-server tem esta aparência:
openssh (1: 6.6p1-2ubuntu2.3) segurança confiável; urgência = médio
REGRESSÃO DE SEGURANÇA: falhas de autenticação aleatórias devido a não inicializadas campo struct (LP: # 1485719)
- debian / patches / CVE-2015-5600-2.patch:
- Marc Deslauriers seg, 17 de agosto de 2015 21:52:52 -0 400
openssh (1: 6.6p1-2ubuntu2.2) segurança confiável; urgência = médio
- ATUALIZAÇÃO DE SEGURANÇA: possível representação do usuário por meio do suporte do PAM
- debian / patches / pam-security-1.patch: não reenvie o nome de usuário para o PAM em monitor.c, monitor_wrap.c.
- Número CVE pendente * ATUALIZAÇÃO DE SEGURANÇA: use-após-livre no suporte do PAM
- debian / patches / pam-security-2.patch: corrija o uso depois de liberar no monitor.c.
- número de CVE pendente
...