Curiosamente, para usar isso e outras configurações, o diretório /etc/apache2/conf-enabled deve ser incluído em /etc/apache2/apache2.conf , como é feito por padrão nas versões posteriores do Apache com a linha:
IncludeOptional conf-enabled/*.conf
O que aconteceu é que em alguns outros servidores, durante a atualização, o arquivo de configuração antigo apache2.conf foi mantido sem adicionando essa diretiva. Para aumentar a confusão, pelo menos em um servidor que foi detectado e corrigido, isso distorceu o estabelecimento desse padrão.
Assim, aparentemente, embora parecessem que essas diretivas de segurança foram configuradas, elas não estavam sendo usadas pelo Apache. O Apache estava assumindo os valores padrão para ServerTokens e ServerSignature , que para o primeiro é Full e, para o último, On .
Acabei adicionando no final de /etc/apache2/apache2.conf
IncludeOptional conf-enabled/*.conf
Após reiniciar o serviço Apache, a situação foi corrigida e o Apache não mais informa dados extras de configuração.