Apenas para notar, pessoas como o Debian, RedHat, etc., farão o backport das correções de segurança para seus pacotes, sem realmente fazer o upgrade completo do software para as versões mais recentes. Isso é para manter a estabilidade da versão em suas principais versões (ou seja, se você estiver executando o RHEL 6.5, estará executando o OpenSSH 5.3p1, embora o OpenSSH 6.4 esteja disponível atualmente).
A verificação da PCI provavelmente está apenas olhando para o número da versão que está sendo relatada. Você deve verificar o changelog do pacote para verificar se essas vulnerabilidades específicas foram tratadas (ou seja, o CVE-xxxx está sendo sinalizado pela varredura e afeta a versão 5.4; o changelog do pacote dirá que a correção para esse CVE foi retornada para tal) -a data para 5.3p1). Provavelmente, se você está atualizado, não há nada para fazer.
Você pode instalar o OpenSSH mais recente e melhor (ou qualquer outro software) para atender aos requisitos PCI. Ninguém vai impedi-lo de fazer isso. O problema com essa abordagem é que você pode ter que assumir a responsabilidade de manter seu software personalizado instalado atualizado, possivelmente em termos de construir seus próprios pacotes (embora, com o openssh, provavelmente haja algum repositório em algum lugar que tenha versões recentes em pacotes) ou confiar em uma entidade muito menor que a Red Hat ou a Canonical para manter pacotes atualizados. O que tende a acontecer neste caso é que novas vulnerabilidades serão reveladas e, a menos que você preste atenção, você começará a ficar para trás. É melhor confiar em alguém cujo trabalho é manter as coisas atualizadas e garantir que haja um processo de controle de qualidade para mostrar que nada será quebrado. Deixe as pessoas da Red Hat, Canonical, etc., fazerem seus trabalhos e aplicarem seus backports da maneira que quiserem, e depois colocaremos um asterisco na varredura PCI. Você realmente não quer manter seus próprios pacotes.
Do ponto de vista da gerência, o scanner PCI deve ser visto como uma ferramenta para ajudar a mostrar onde você pode ter vulnerabilidades; o que você faz com os resultados da sua ferramenta (um tanto grosseira) é mais uma decisão gerencial (ou seja, se isso é interno, basta anotar em sua própria empresa que esse problema é corrigido, independentemente do que o relatório de verificação mostra; se for para uso externo, você precisa comunicar às partes interessadas que o problema já está corrigido e que você não se desviará do pacote do Ubuntu, porque essa é uma opção pior.) Você pode ter um conhecimento melhor de seus sistemas do que um problema geral. scanner de propósito.