O requisito do PCI é:
ensure that all system components and software are protected from known vulnerabilities by installing applicable vendor-supplied security patches.
Apenas baixar aleatoriamente versões de software alternativas não suportadas não é o que você deve fazer ...
The Red Hat Security Response Team has rated this issue as having Low security impact, a future update may address this flaw.
Portanto, nenhuma correção da Red Hat por enquanto e, portanto, nenhuma correção do CentOS também.
A razão para essa avaliação de Baixo Risco é porque a configuração padrão que é enviada pela Red Hat e pelo CentOS não inclui valores AcceptEnv curinga ( * ).
Agora, a questão é: você está vulnerável porque alterou os padrões fornecidos pelo fornecedor? Em caso afirmativo, você pode remover / reescrever seus curingas personalizados do AcceptEnv tornando seu sistema seguro novamente?
Ou o auditor apenas é acionado pelo número da versão do software openssh, você não está realmente vulnerável?
Porque o último acontece o tempo todo ...