Estou lendo o livro de receitas do OpenSSL, e aqui o que eu vejo lá
openssl version OpenSSL 1.0.1 14 Mar 2012
E esta é a versão do meu servidor Ubuntu 14.04
openssl version OpenSSL 0.9.8w 23 Apr 2012
Março não é mais cedo que abril?
Aqui está o que eu encontrei no site do sangramento do coração:
What versions of the OpenSSL are affected?
Status of different versions:
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable OpenSSL 1.0.1g is NOT vulnerable OpenSSL 1.0.0 branch is NOT vulnerable OpenSSL 0.9.8 branch is NOT vulnerableBug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.
De link
CVE-2014-0160 (OpenSSL advisory) 7th April 2014: A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64kB of memory to a connected client or server (a.k.a. Heartbleed). This issue did not affect versions of OpenSSL prior to 1.0.1. Reported by Neel Mehta. Fixed in OpenSSL 1.0.1g (Affected 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)
Eu acredito que isso é bastante autoexplicativo.
Parece que sua versão de 0.9.8 foi corrigida após o primeiro lançamento de 1.0.1, mas na verdade data de 5 de julho de 2005. As versões principais seriam desenvolvidas ainda, mas sua versão foi presumivelmente corrigida por vulnerabilidades de segurança encontradas .
Para maior clareza:
0.9.8 July 205
1.0.1 14 Mar 2012
0.9.8w 23 Apr 2012
Sua versão é bastante antiga e pode estar aberta para Heartbleed, revisar e atualizar conforme necessário (0,85 mais recente)
Tags openssl