Собственно в OpenSource очень мало серьезных дыр в безопасности живет дольше нескольких дней после опубликования информации об обнаруженной дыре.
Если учесть, что часть дыр обнаруживается "добрыми людьми" и циркулирует сначала по закрытым каналам между разработчиками, то некоторые дыры затыкают еще до опубликования информации о них.
Для меня уже норма увидеть обновление ssl, ssh или еще чего-то связанного с безопасностью в тот же день, когда я натыкаюсь на новость об обнаруженной в них дыре. И я даже не удивляюсь, что иногда, я, после того как узнаю о дырке, проверяя версии на своем компе бажных утилит, нахожу уже обновленные версии, где дыра уже залатана.