A página do ESM (https://ubuntu.com/security/esm) é inconsistente. Essas declarações estão todas naquela página:
O ESM permite o gerenciamento contínuo de vulnerabilidades paraCVEs críticos, altos e médios.
(COBERTURA PARACVES MÉDIOS CRÍTICOS, ALTOS E SELECIONADOS)
O ESM continua com atualizações de segurança e livepatching do kernel paraCVEs altos e críticos(Vulnerabilidades e exposições comuns).
O que o ESM realmente cobre?
Responder1
Esta parece ser a resposta: https://discourse.ubuntu.com/t/ubuntu-pro-faq/34042#:~:text=Will%20all%20vulnerabilities%20get%20fixed%3F
Todas as vulnerabilidades serão corrigidas?
A equipe de segurança do Ubuntu prioriza CVEs críticos e altos. Eles também abordarão CVEs médios selecionados. Para clientes com requisitos de conformidade específicos, a Canonical permite que clientes empresariais patrocinem patches adicionais até CVEs médios para um subconjunto selecionado de pacotes e suas dependências.
A Canonical deveria atualizar sua página sobre ESM para ser mais clara sobre o que é suportado.