Sim, você deve atualizar.
Especificamente, você deve atualizar para o Debian 7 (Wheezy) como Zoredache disse para você .
Existem MUITAS dependências subjacentes ao Apache, e uma atualização completa do SO IS é a "maneira mais fácil" de fazer essa atualização. Ele também traz muitas outras melhorias de segurança e funcionalidade que foram feitas desde o Debian 6.
Se você não quer atualizar para o Debian 7, você provavelmente deve ficar com o antigo OpenSSL e Apache (tendo em mente todas as implicações de fazer isso). Qualquer atualização feita no Debian 6 teria que ser feita "da maneira mais difícil".
Se você insistir em fazer isso da maneira mais difícil, você precisará baixar o Apache, OpenSSL e quaisquer outros componentes auxiliares (PHP, Passenger, mod_perl, etc.) que você usa em seu servidor web, e basicamente construir um OpenSSL local. , compile um edifício Apache personalizado contra essa biblioteca SSL e, em seguida, adicione todos os componentes auxiliares ao seu ambiente personalizado do Apache.
Você, é claro, será responsável por rastrear as atualizações de segurança em todos esses componentes e reconstruí-los / reinstalá-los conforme necessário.
Ele também deixa seu sistema central executando um OpenSSL diferente do servidor da Web (o que pode ou não ser um grande problema para você - mas é algo que você precisa saber ao solucionar problemas no futuro.
Isso tudo é certamente possível, mas um guia passo a passo está fora do escopo da falha do servidor (e, francamente, se você precisar de um guia como esse, você não precisa fazer isso para Comece com - é a administração do sistema moderadamente avançada, como nos velhos tempos antes do gerenciamento de pacotes, e se você não está à altura do nível de habilidade que precisa para jogar em um ambiente seguro antes de tentar isso em produção).