Com base na data exibida pela sua versão do OpenSSL, parece que está vendo a versão completa exibida lá.
O Open SSL 1.0.1 foi lançado em 14 de março de 2012 . 1.0.1a foi lançado em 19 de abril de 2012.
Então, eu vou em frente e afirmo que openssl version -a
é a maneira correta de distribuição cruzada para exibir a versão completa do OpenSSL instalado no sistema. Parece funcionar para todas as distribuições Linux que eu tenho acesso, e é o método sugerido na documentação do help.ubuntu.com OpenSSL, como bem . O Ubuntu LTS 12.04 é fornecido com o OpenSSL v1.0.1, que é a versão que se parece com uma versão abreviada, por não ter uma letra a seguir.
openssl version -a
continua a retornar a versão original 1.0.1 de 14 de março, 2012, independentemente de o OpenSSL ter sido atualizado ou não para qualquer uma das versões mais recentes. E, como com a maioria das coisas quando chove, derrama.
O Ubuntu não é a única grande distro com o hábito de retroceder atualizações para o OpenSSL (ou outros pacotes), mais do que depender das atualizações e numeração de versões que todos reconhecem. No caso do OpenSSL, onde os números das versões das letras representam apenas correção de bugs e atualizações de segurança, isso parece quase incompreensível, mas eu fui informado de que isso pode ser por causa do Principais distribuições do Linux validadas pelo FIPS fornecidas pelo OpenSSL. Por causa dos requisitos em torno da revalidação que são acionados devido a qualquer alteração, até mesmo as alterações que conectam falhas de segurança são bloqueadas por versão.
Por exemplo, no Debian, a versão corrigida exibe um número de versão de 1.0.1e-2+deb7u5
em vez da versão upstream de 1.0.1g
.
Como resultado, neste momento, não há maneira confiável e portátil de verificar as versões SSL nas distribuições do Linux , pois todas elas usam seus próprios patches e atualizações com diferentes esquemas de numeração de versão. Você terá que procurar o número da versão fixa para cada distribuição diferente do Linux executado e verificar a versão do OpenSSL instalada em relação à numeração de versão específica dessa distribuição para determinar se os servidores estão executando uma versão vulnerável ou não.