No meu entender, correções de bugs e vulnerabilidades são lançadas separadamente em -updates e -security. 1 patch corrige CVE(s) para 1 pacote (sem patches cumulativos como no Windows). Existe um patch para cada versão do Ubuntu por pacote (correção na versão atual por motivos de estabilidade).
Aqui estão minhas perguntas:
quando os espelhos -security e -updates são mesclados. Na próxima versão do Ubuntu?
se um CVE for encontrado e corrigido na versão N do pacote. A versão N+1 do pacote inclui a correção?
se um pacote de segurança for lançado para o Ubuntu 18/04 e não houver menção ao ubuntu 20.04 na página USN, a correção está incluída no Ubuntu 20.04 ou o antigo CVE não é aplicável?
Neste exemplo: https://ubuntu.com/security/notices/USN-3876-1
A versão mais recente do patch mencionado no USN é para Ubuntu 18.04 e denominada avahi-daemon-0.7-4ubuntu2.1.
Minha versão instalada no Ubuntu 20.04 é mais recente: 0.7-4ubuntu7.2. Inclui o patch de segurança para CVE-2017-6519 mesmo que a versão do Ubuntu não seja a mesma?
