La respuesta breve es sí, debe mantener sus sistemas actualizados con respecto a los parches de seguridad.
La forma exacta en que implementa los parches de seguridad depende de su tolerancia al riesgo. Aquí hay algunas opciones que he usado para responder esta pregunta en el pasado:
Aplique las actualizaciones a un conjunto de sistemas de control de calidad que imitan su entorno de producción y ejecute todas sus pruebas de regresión para asegurarse de que los cambios no rompan ninguna funcionalidad o causen problemas de rendimiento. Una vez que esté satisfecho, implemente las actualizaciones de sus sistemas de producción.
Espere un día y vea si hay una protesta pública sobre los problemas causados por las actualizaciones. Si todo parece tranquilo, actualice sus sistemas de producción.
Aplique cada parche de seguridad en sus sistemas de producción tan pronto como esté disponible.
He usado una combinación de estos tres enfoques usando Ubuntu, y gradualmente me he movido hacia la opción 3 a lo largo de los años. Los parches de seguridad se prueban mucho antes de su lanzamiento y se tiene mucho cuidado para no romper la funcionalidad existente. Nunca tuve problemas para actualizar las imágenes compatibles con Ubuntu (aunque tuve un problema hace años cuando estaba usando un kernel que no es Ubuntu con Ubuntu en EC2).
Tenga en cuenta que la actualización del núcleo también requiere un reinicio para aplicar los cambios.
La experiencia y las recomendaciones anteriores se aplican solo a la actualización dentro de una versión de Ubuntu (por ejemplo, 11.04). Actualizar a una nueva versión de Ubuntu es una tarea mucho más grande y arriesgada y definitivamente requiere pruebas antes de implementarlo en sus sistemas de producción.
Aquí hay un artículo sobre este tema que acaba de publicar RightScale sobre cómo administrar las actualizaciones de seguridad en su entorno:
http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/
apt-get update && apt-get upgrade && apt-get dist-upgrade
. Eso actualizará los paquetes retenidos.