wenn ich den Heise-Artikel richtig verstanden habe, dann portiert Debian die Sicherheitsfixes auf ältere Versionen. Und das bei allen Paketen, die sie in der Distro anbieten.
Die xscreensaver-Nummer ist jetzt schon mindestens dreimal hier erwähnt worden, zweimal von dir. Angekommen scheint es bei dir leider nicht, jedenfalls nicht zur Gänze.
Der Autor von xscreensaver beschwert sich, dass Debian eine uralte Version vertreibt, und zwar nicht, weil sie einfach nur alt ist: Er bekommt alle Nase lang Beschwerden von Benutzern wegen Fehlern, die teils seit Jahren behoben sind – darunter auch sicherheitskritische.
Also: Nein, Debian ist so viel oder wenig schlampig wie Canonical, nur anders.
Dass Debian sich genauso wenig um tausende Pakete kümmern kann wie Canonical, steht auf einem anderen Blatt (und Microsoft macht das auch nicht, da gibt es nicht einmal ein offenes Update-System). Debian ist aber nicht per se sicherer als Ubuntu.