Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 14/5/2008
Den indbyggede generator af tilfældige tal i Debians udgave af Openssl danner tal, som kan forudsiges. Fejlen er rettet.Ifølge udviklerne af Linux-distributionen findes fejlen ikke i andre operativsystemers Openssl, hvis de ikke bygger på Debians kode. Fejlen har været i Debian siden efteråret 2006.
Sårbarheden gør det muligt at forudsige, hvilke tal der vil komme ud af et kald til generatoren. Dermed kan man muligvis gætte sig frem til indholdet af en krypteringsnøgle.
Foruden Openssl kan andre funktioner, der også anvender krypteringsnøgler, være berørt. Det kan fx være nøgler til SSH og OpenVPN. Udviklerne anbefaler, at man genererer alle nøgler på ny, efter man har installeret den rettede version.