Todos os problemas de segurança corrigidos no 2.2.22 (e 2.2.23 para o caso; 2.2.24 parece ter saído hoje, provavelmente não são ainda) foram enviados para os pacotes atuais de derivados RHEL e RHEL como CentOS.
Supondo que você esteja no pacote mais recente do httpd no repositório do CentOS, o seu scanner de segurança está errado; uma simples olhada na versão string é um método pouco confiável para detectar se um sistema é vulnerável, já que todas as principais distribuições Linux usadas nos negócios usam o mesmo método de backporting de correções de segurança (sem atualizar para versões novas).
Solução fácil; não deixe que os scanners defeituosos façam estimativas incorretas usando sua lógica de detecção falha, e configure ServerTokens Prod
e ServerSignature Off
no seu Apache.