Você precisa entender a política de empacotamento e correção da Red Hat.
A Red Hat escolhe a versão de qualquer ferramenta que usará quando lançar uma versão do RHEL. Para o RHEL 6, isso incluía o Apache 2.2.15, o kernel 2.6.32, o php 5.3.3 e assim por diante. Para o resto da vida do RHEL6, estes não serão atualizados; Em vez disso, a Red Hat fará backport de quaisquer correções necessárias (e, ocasionalmente, aprimoramentos que sejam considerados desejáveis) para a versão escolhida. Isso significa que você estará executando um software cujo número de versão sugere que é vulnerável a determinadas explorações conhecidas, mas que provavelmente foram corrigidas para evitar essas vulnerabilidades.
Se você quiser ter certeza de que não está sujeito a uma vulnerabilidade específica, será necessário encontrar o número CVE do problema e fazer uma referência cruzada a ele com os avisos do RH. A Red Hat explica tudo isso em mais detalhes em seu próprio site.
É incrível como muitos auditores de segurança soi-disant não entendem as ramificações da abordagem do RH, alguns deles mesmo depois de ter sido explicado lentamente e em palavras curtas.