CVE-2014-8109 e CentOS

Estou passando por uma longa lista de centenas de problemas de segurança que um provedor de serviços de verificação de segurança com conformidade a PCI relatou em um servidor cliente. Eu encontrei, isolado, documentado e arquivado disputas para todos os falsos positivos. Não tenho certeza se devo amar ou odiar essa empresa. Eles certamente fazem a sua parte para fornecer segurança no emprego, mas eu prefiro um trabalho que seja um pouco mais interessante.

Em qualquer caso, o link é o último item que não consigo resolver. A RedHat decidiu não retroceder a correção para o RHEL 7 e, consequentemente, esse furo não foi conectado.

Estou procurando conselhos sobre duas coisas

• Posso fazer alguma coisa para mitigar isso (um "controle de compensação")? Falta de reconstruir o httpd, espero?
• Existe algum argumento técnico factual com o prestador de serviços sobre o mérito desta questão?