Do ponto de vista da segurança, você não quer rodar o Apache httpd 2.4.14 ou mesmo o 2.4.17, mas não quer estar vulnerável a qualquer vulnerabilidade de segurança conhecida do Apache (ou outro).
Em geral, você já consegue isso aplicando regularmente as atualizações de segurança em sua versão do Ubuntu LTS suportada.
Uma verificação de segurança provavelmente detectou sua versão 2.4.7 do Apache, fez uma pesquisa rápida em um banco de dados com vulnerabilidades conhecidas, como o link e encontrei uma lista semelhante a esta em cvedetails.com e descobriu que CVE-2015-3185 é apenas a vulnerabilidade mais recente que se aplica à sua versão do Apache.
Depois vem a conclusão ignorante: para ser "seguro e compatível" é preciso seguir CVE cegamente e você deve atualizar para uma versão do Apache httpd 2.4.14 ou mais recente.
Isso não leva em consideração a prática comum nas distribuições "Enterprise" do Linux para "backport" atualizações de segurança . As razões para backporting e o processo são bem descritas em RedHat.com , mas é similar para o Ubuntu. (Por favor, leia todo esse artigo.) O mais curto é que o número da versão mais antiga não é igual a inseguro.
CVE-2015-3185 foi reconhecido pelo Ubuntu como USN-2686-1 e foi corrigido.
Se ainda não o fez, basta instalar as atualizações de segurança normais e, apesar de permanecer no Apache versão 2.4.7, você não está vulnerável ao CVE-2015-3185 nem a qualquer um dos CVEs anteriores.
Não estou intimamente familiarizado com o processo de certificação de conformidade com PCI, por isso, como traduzir as informações acima para obter certificação ...
O que pode ajudar é esta resposta (e mesmo que toda a Q & A seja interessante, apesar de estar focada no RHEL): use as seguintes Directivas Apache e defina ServerTokens para Prod e defina o < href="http://httpd.apache.org/docs/2.4/mod/core.html#serversignature"> ServerSignature para Off no seu httpd.conf.