Embora a resposta aceita esteja correta, muitas vezes acho que sou capaz de descobrir essas informações visualizando o registro de alterações de um pacote, e isso é mais fácil do que vasculhar a lista de rastreadores do CVE ou de notificações de segurança. Por exemplo:
sudo apt-get update
apt-get changelog ntp
A saída do comando acima inclui:
...
ntp (1:4.2.6.p5+dfsg-3ubuntu3) vivid; urgency=medium
* SECURITY UPDATE: weak default key in config_auth()
- debian/patches/CVE-2014-9293.patch: use openssl for random key in
ntpd/ntp_config.c, ntpd/ntpd.c.
- CVE-2014-9293
* SECURITY UPDATE: non-cryptographic random number generator with weak
seed used by ntp-keygen to generate symmetric keys
- debian/patches/CVE-2014-9294.patch: use openssl for random key in
include/ntp_random.h, libntp/ntp_random.c, util/ntp-keygen.c.
- CVE-2014-9294
* SECURITY UPDATE: buffer overflows in crypto_recv(), ctl_putdata(), configure()
- debian/patches/CVE-2014-9295.patch: check lengths in
ntpd/ntp_control.c, ntpd/ntp_crypto.c.
- CVE-2014-9295
* SECURITY UPDATE: missing return on error in receive()
- debian/patches/CVE-2015-9296.patch: add missing return in
ntpd/ntp_proto.c.
- CVE-2014-9296
-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Sat, 20 Dec 2014 05:47:10 -0500
...
O que mostra claramente que os erros que você mencionou foram corrigidos nos repositórios do ubuntu. Você pode então executar:
sudo apt-get upgrade
para baixar a correção.
apt-cache policy ntp