A Redhat tem esta política de correções de segurança backporting.
Mas quando os sites RHEL e CentOS são auditados, os auditores invariavelmente apenas listam as versões do pacote ou perguntam ssh
qual é o número da versão, e então eles falham porque parece que você está rodando uma versão vulnerável, digamos, do OpenSSH.
As únicas maneiras que posso ver para responder a isso são:
init.d
scripts e outras integrações. E o OpenSSH é difícil de instalar em si mesmo em um datacenter sem luz quando é o seu método de acesso remoto. Existe uma ideia melhor?
Existe algo chamado OVAL. Redhat pelo menos costumava fornecer alertas nesse formato. Isso realmente funciona nos auditores?