Dê um passo atrás. O scanner PCI está confiando cegamente nos números de versão e não está levando em conta que o fornecedor (que é eventualmente o Red Hat) revisa os patches. Descubra a vulnerabilidade exata (obtenha o CVE) e use rpm -q --changelog httpd
(ou vá para link e link ) para ver se a correção foi backportada. É chato de fazer; agradeço ao seu preguiçoso PCI QSA pelo trabalho.
Recomendo strongmente que não instale a partir da origem. Ele interrompe o gerenciamento de pacotes e você agora se torna responsável por manter o apache atualizado, o que é mais irritante do que verificar o backporting das correções.