Sono riuscito a scaricare questo strumento e a metterlo su uno dei miei sistemi in modo da poter testare i miei host senza un controllore esterno:
heartbleeder
I risultati erano coerenti con quello che mi aspettavo (sporco da pulire dopo l'applicazione delle patch e una volta non ripulito dopo l'applicazione delle patch, ulteriori indagini hanno dimostrato che lo strumento era corretto e non avevo applicato patch ogni copia della libreria openssl).
E a proposito, quello che stai descrivendo è incredibilmente comune. Molte distribuzioni (in particolare RHEL) patch di backport senza modificare il vecchio rev. In questo caso, Red Hat si impegna per questo: openssl-1.0.1e-16.el6_5.4 è il vecchio RPM guasto e openssl-1.0.1e-16.el6_5.7 è il nuovo RPM fisso. Davvero, Red Hat? Non avresti potuto spingere -16 fino a -17?
Aggiornamento:
In risposta al commento di @ question-overflow, ecco un'eccellente dissezione del problema includendo la procedura dettagliata del codice e i link alla fonte completa.