Ejecuto un servidor cuyo único puerto abierto público es 80, que sirve datos no cifrados mediante HTTP, no HTTPS. ¿Está afectado por Heartbleed?
Teun Vink tiene razón, no es vulnerable si está seguro de que https está desactivado, por ejemplo, desactivando mod_ssl.
Incluso si no usa https de forma activa, aún puede estar habilitado. Muchos servidores tienen https habilitados de forma predeterminada con algún certificado generado automáticamente. Esto no será válido y emitirá un error o advertencia en los navegadores, pero seguirá siendo explotable.
Si puede modificar la configuración de apache, desactive mod_ssl con a2dismod ssl . En Windows no estoy seguro de que esto funcione; por ejemplo, en una instalación de xampp, debería editar el archivo httpd.conf en la carpeta xampp/apache/conf . Coloque un signo de libra (#) delante de la línea que dice
LoadModule <something_with_ssl> para que se convierta en #LoadModule <something_with_ssl>
Si deshabilitar mod_ssl causa problemas en otras partes de la configuración, también puede simplemente asegurarse de que la única opción Listen sea para el puerto 80. Debe buscar en todos los archivos de configuración esas opciones Listen , por ejemplo con grep o en Windows puede usar la función de búsqueda en archivos de Notepad ++.
En cualquier caso, es recomendable actualizar OpenSSL si es posible. Otras cosas pueden estar usándolo o alguien puede activar https en el futuro sin darse cuenta de que es vulnerable.
TL; DR: actualiza OpenSSL si es posible, incluso si no eres vulnerable. Si no es posible, asegúrese absolutamente de que no está usando https.
Lea otras preguntas en las etiquetas tls apache heartbleed