Há duas coisas que podem estar acontecendo aqui:
-
Um simples "./configure; make; make install" colocará por padrão as bibliotecas compartilhadas em
/usr/local/lib
. As bibliotecas instaladas no sistema, no entanto, estarão em/usr/lib
, que vem antes no caminho de pesquisa da biblioteca. A menos que você remova a versão do OpenSSL instalada pelo sistema, a versão vulnerável não será encontrada. -
Mesmo se você estiver sobrescrevendo as bibliotecas do sistema, a mudança não será obtida até que você reinicie o Apache. Os arquivos excluídos permanecem acessíveis (e ocupam espaço no disco) até que todos os programas que possuem as alças de arquivo abertas fechem essas alças de arquivos.