atualizar o openssl vai piorar as coisas, não melhor. Você precisa obter uma lista de CVEs referentes a quem está fazendo sua certificação PCI. Então você pode, para cada um desses CVEs, mostrar a eles que o Ubuntu está suportando correções para endereçar esses CVEs.
Aqui está o rastreador de segurança do Ubuntu . Você deve ser capaz de colocar um CVE neste site e descobrir que o Ubuntu resolveu o problema, e quando.
Por exemplo, o CVE openssl mais recente está documentado aqui e links para Aviso do Ubuntu sobre esta vulnerabilidade ser corrigida .
A empresa que faz sua certificação PCI DEVE aceitar esse tipo de documentação.