A resposta curta é: sim, você deve manter seus sistemas atualizados com relação aos patches de segurança.
Como exatamente você implementa os patches de segurança depende da sua tolerância a riscos. Aqui estão algumas opções que eu usei para responder a essa pergunta no passado:
Aplique as atualizações a um conjunto de sistemas de controle de qualidade que imitam seu ambiente de produção e execute todos os seus testes de regressão para garantir que as alterações não quebrem nenhuma funcionalidade ou causem problemas de desempenho. Quando estiver satisfeito, implante as atualizações nos seus sistemas de produção.
Aguarde um dia e verifique se há protestos públicos sobre problemas causados pelas atualizações. Se tudo parecer pacífico, atualize seus sistemas de produção.
Aplique todos os patches de segurança em seus sistemas de produção assim que estiverem disponíveis.
Eu usei uma combinação de todas essas três abordagens usando o Ubuntu e, gradualmente, fui para a opção 3 ao longo dos anos. Os patches de segurança são fortemente testados antes do lançamento e é tomado muito cuidado para não quebrar a funcionalidade existente. Eu nunca tive problemas para atualizar as imagens suportadas pelo Ubuntu (embora eu tenha tido um problema anos atrás, quando eu estava usando um kernel não-Ubuntu com o Ubuntu no EC2).
Observe que a atualização do kernel também requer uma reinicialização para aplicar as alterações.
A experiência e as recomendações acima se aplicam apenas à atualização em uma versão do Ubuntu (por exemplo, 11.04). A atualização para uma nova versão do Ubuntu é uma tarefa muito maior e mais arriscada e definitivamente requer testes antes de você ser lançada em seus sistemas de produção.
Aqui está um artigo sobre este tópico, que acabou de ser publicado pela RightScale, sobre como gerenciar atualizações de segurança em seu ambiente:
http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/
apt-get update && apt-get upgrade && apt-get dist-upgrade
. Isso atualizará os pacotes retidos.