Verifique se o pacote libssl1.0.0 também foi atualizado (esse pacote contém a biblioteca real, o pacote openssl contém as ferramentas) e se todos os serviços que usam a biblioteca foram reiniciados após o upgrade.

Você tem que RESTART todos os serviços usando o openssl (service apache restart).

É possível que você é um caso falso positivo, de acordo com as Perguntas frequentes :

I'm getting false positives (red)!

Be careful, unless you glitched the site hammering the button, there is no way I can think of a red is not a red.

Check the memory dump, if it's there then the tool got it from somewhere.

Let's say I'm 99% certain that you should look better if you restarted all processes after updating correctly.

Update: still, I'm getting consistently reports of unaffected versions going red. Please come comment to the issue if you are affected. I'm looking for 3 things: memory dumps (to figure out where they came from), timestamps (as accurate as possible, try with the Network tab), a complete description of what you clicked and typed.

Você pode testar seu site usando outra ferramenta, como SSLLabs , e verificar se você ainda é considerado vulnerável.
Você também deve relatar o problema com o testador link conforme descrito acima.

Se acontecer de você estar executando o mod_spdy, certifique-se de atualizar sua instalação do mod_spdy. Consulte o link para obter detalhes. Você precisará atualizar o mod_spdy deb ou remover completamente a versão anterior.

Você provavelmente tem um programa que escuta em 443 que possui uma biblioteca openssl vinculada a estática. Isso significa que o programa tem seu próprio openssl empacotado com ele - atualize este programa também! Se alguém não estiver disponível, notifique imediatamente o fornecedor e suspenda este aplicativo, se possível!

É possível que você esteja com o bug listado na página FAQ . Parece que, em determinadas circunstâncias, você pode receber uma notificação vulnerável, mesmo em um sistema corrigido.

I'm getting false positives (red)!

Be careful, unless you glitched the site hammering the button, there is no way I can think of a red is not a red. Check the memory dump, if it's there then the tool got it from somewhere. Let's say I'm 99% certain that you should look better if you restarted all processes after updating correctly.

Update: still, I'm getting consistently reports of unaffected versions going red. Please come comment to the issue if you are affected. I'm looking for 3 things: memory dumps (to figure out where they came from), timestamps (as accurate as possible, try with the Network tab), a complete description of what you clicked and typed.

Eu sugeriria testar com um teste alternativo, como Qualys , para confirmar que seu sistema não está mais vulnerável. Se não for de cabeça para o Github e denuncie.

Ainda está quebrado

O que é? O "servidor" de que você fala pode ter uma biblioteca OpenSSl vinculada estática. Isso significa que mesmo que você tenha atualizado seu sistema, seu aplicativo ainda estará em risco! Você precisa falar com o fornecedor do software imediatamente para obter um patch ou desligar o serviço até que você o faça.

Eu realmente tenho que desativar o serviço até que o patch esteja fora?

Sim, executar um serviço vulnerável é extremamente perigoso ao ponto de possível negligência! Você pode estar vazando dados que o servidor descriptografa do transporte e nem mesmo sabe disso!

Verifique se o seu nginx usa a biblioteca do sistema: link

Isso é muito possível se o aplicativo em execução no 443 usar uma biblioteca estática para o OpenSSL. Se este for o caso, você precisa atualizar o aplicativo para não ficar mais vulnerável.

Consegui finalmente corrigir meu problema semelhante ao do OP. Meu servidor é uma pilha LAMP da Bitnami. Seguindo estas instruções:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

link