O Exploit está no OpenSSL - www.heartbleed.com tem muitas informações corretas por aí.
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable
Então, tudo depende da sua versão atual