Não, o ModSSL é uma interface para o OpenSSL, portanto, não precisará de atualizações em si.
Eu atualizei o OpenSSL para a versão 1.0.1 g no meu Ubuntu 12.04.4 LTS:
user@server# dpkg -l |grep openssl
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
ii python-openssl 0.12-1ubuntu2.1 Python wrapper around the OpenSSL library
Pergunta: Eu preciso atualizar o Apache2 mod_ssl também? Se sim, como?
user@server# strings /usr/lib/apache2/modules/mod_ssl.so | grep -i "openssl"
OPENSSL_add_all_algorithms_noconf
OPENSSL_load_builtin_modules
OPENSSL_1.0.1
OPENSSL_1.0.0
SSLFIPS invalid, rebuild httpd and openssl compiled for FIPS
OpenSSL 1.0.1 14 Mar 2012
OpenSSL
AH01894: Unable to initialize TLS servername extension callback (incompatible OpenSSL version?)
AH01913: Unable to initialize TLS session ticket key callback (incompatible OpenSSL version?)
OpenSSL 1.0.1 14 Mar 2012
Versão do Apache2
user@server# dpkg -l |grep apache2
ii apache2 2.4.2-2~ppa1 Apache HTTP Server
ii apache2-bin 2.4.2-2~ppa1 Apache HTTP Server (binary files and modules)
ii apache2-data 2.4.2-2~ppa1 Apache HTTP Server (common files)
ii apache2-mpm-worker 2.4.2-2~ppa1 transitional worker MPM package for apache2
ii apache2-utils 2.4.2-2~ppa1 Apache HTTP Server (utility programs for web servers)
rc apache2.2-common 2.2.22-1ubuntu1.4 Apache HTTP Server common files
Não, o ModSSL é uma interface para o OpenSSL, portanto, não precisará de atualizações em si.
Estou usando o Kali (Backtrack), que é baseado no Debian, mas ainda é semelhante ao Ubuntu.
Eu atualizei primeiro o openssl (apt-get install openssl), mas depois de parar o & amp; Ao iniciar meu servidor web apache2, a vulnerabilidade ainda estava lá (testando com ssltest.py por Jared Stafford ... prontamente disponível na web).
Encontrado instruções de que também é necessário atualizar o "libssl" da seguinte forma: apt-get install libssl1.0.0
Depois disso e reiniciando o meu servidor web, a vulnerabilidade desapareceu.
Em geral, o openssl 1.0.1g é a versão mínima corrigida / segura. Note que para distribuições Debian, a versão mínima / segura do openssl e libssl1.0.0 é 1.0.1e-2 + deb7u6. Eu não sei qual seria a versão correspondente do Ubuntu.
De qualquer forma, parece haver mais do que apenas atualizar o openssl.