O nome do pacote RPM simplesmente não é o mesmo que a versão que o próprio software retorna.
Uma das razões para isso é a Red Hat & CentOS backports atualizações de segurança e correções de bugs para a versão do software que foi inicialmente enviada. Eles tomam uma correção para uma falha de segurança da versão mais recente de um pacote de software upstream, ou seja, openssl 1.0.1h e aplicam essa correção a uma versão mais antiga do pacote foi distribuída: ou seja, openssl 1.0.1e. Essa política é o motivo de uma string no nível do patch no nome do pacote, além do número da versão do software.
A saída da versão do comando openssl version permanece inalterada 1.0.1e, independentemente do seu nível de correção real.
rpm -q --changelog openssl mostra quais atualizações o mantenedor do pacote incluiu na versão que você instalou atualmente.
A versão mais atual mostra:
* Mon Jun 02 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.14
- fix CVE-2010-5298 - possible use of memory after free
- fix CVE-2014-0195 - buffer overflow via invalid DTLS fragment
- fix CVE-2014-0198 - possible NULL pointer dereference
- fix CVE-2014-0221 - DoS from invalid DTLS handshake packet
- fix CVE-2014-0224 - SSL/TLS MITM vulnerability
- fix CVE-2014-3470 - client-side DoS when using anonymous ECDH
* Mon Apr 07 2014 Tom Mraz <tmraz redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension