高危漏洞仍存在? openSUSE13.2做服务器是否还安全?

我在使用 openSUSE 13.2 .
今天运行用官方源的最新 php 做服务器, 又用 nessus 扫描了一下, 竟然报出一个 CRITICAL 漏洞 .

扫描器给出的信息

critical PHP 5.6.x < 5.6.13 Multiple Vulnerabilities

Output

      Version source    : X-Powered-By: PHP/5.6.1
      Installed version : 5.6.1
      Fixed version     : 5.6.13



Risk Information
Risk Factor:  Critical
CVSS Base Score:  10.0
CVSS Vector:  CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS Temporal Vector:  CVSS2#E:F/RL:OF/RC:ND
CVSS Temporal Score:  8.3
IAVM Severity:  I

Vulnerability Information
CPE:  cpe:/a:php:php
Exploit Available:  true
Exploit Ease:  Exploits are available
Patch Pub Date:  2015/09/03
Vulnerability Pub Date:  2014/09/10

Reference Information
CVE:  CVE-2015-6834, CVE-2015-6835, CVE-2015-6836, CVE-2015-6837, CVE-2015-6838
OSVDB:  127122, 127124, 127125, 127126
IAVB:  2015-B-0108

然后我上 openSUSE 官网的软件包搜索了一下 php
software.opensuse.org/package/php5

可以看到
42.1 官方源 5.5.14
13.2 官方源 5.6.1
13.1 官方源 5.4.20

都没有满足扫描器给出的 fixed version 5.6.13
42.1 还低于 13.2

13.1 应该还在支持周期内,php 对此漏洞的修复版本也已在一月前释出了.
为什么官方源未够跟进?

是否使用 openSUSE 需要自行选择 OBS 中的源才能够维持足够的 update?
这是 openSUSE 独有现象还是所有 Linux Distro 共有的?

** 我对软件周期不懂, 对安全也不懂, 仅是今天的经历让我不解.**

查阅 SLES / openSUSE 安全漏洞追踪器,以 CVE-2015-6834 为例
suse.com/security/cve/CVE-2015-6834.html
可见 SUSE 安全团队于 2015-09-25 释出安全更新:
安全更新 openSUSE-SU-2015:1628-1 包含 CVE-2015-683{1,2,3,4,5,6,7,8}
lists.opensuse.org/opensuse-security-announce/2015-09/msg00025.html
貌似 SUSE 的安全补丁是 backport 到旧版包中的?(?)
nessus 是否仅通过版本号判断是否存在漏洞?

再看其它发行版的情况:

[Debian]
查阅 Debian 安全漏洞追踪器
security-tracker.debian.org/tracker/DSA-3358-1
可见 Debian 安全团队于 2015-09-13 释出安全更新
安全更新 DSA-3358-1 包含 CVE-2015-683{4,5,6,7,8}
debian.org/security/2015/dsa-3358
lists.debian.org/debian-security-announce/2015/msg00257.html

[RHEL]
access.redhat.com/security/cve/cve-2015-6834
bugzilla.redhat.com/show_bug.cgi?id=CVE-2015-6834

Red Hat Enterprise Linux 6 php Not affected
Red Hat Enterprise Linux 7 php Will not fix
Red Hat Enterprise Linux 5 php Not affected
Red Hat Enterprise Linux 5 php53 Not affected