Po RedHat i Mandriva można było spodziewać się (oni lubią grzebać w oryginalnych plikach), ale Deabian (stable) wiecznie zapóźnion wersja pod serwery
Ale tak to jest jak opiekuni niektórych dystrybucji robią coś na włąsną ręke
) poniżej pełne info.
Odkryto, że generator pseudolosowy z pakietu openssl w Debianie oraz Ubuntu od dwóch lat zachowuje się w sposób przewidywalny.
Nieszczęśliwą poprawkę do debianowego pakietu wprowadził w 2006 roku Kurt Roeckx znacznie zmniejszając entropię generatora. Z tego powodu klucze generowane na Debianie z pakietem openssl od wersji 0.9.8c-1 są słabe i należy je jak najszybciej wygenerować ponownie używając poprawionej wersji pakietu. Z kolei klucze DSA należy uznać za skompromitowane. Problem dotyczy kluczy używanych przez SSH, OpenVPN, DNSSEC oraz stosowanych do certyfikatów X.509 używanych w połączeniach SSL/TLS. Aktualizacji pakietu openssl powinni dokonać nie tylko użytkownicy Debiana ale także Ubuntu oraz innych dystrybucji na nim bazujących.
Ben Laurie skrytykował poczynania Debiana, który spatchował OpenSSL na własną rękę. Według Laurie twórcy dystrybucji nie powinni niczego patchować sami, tylko zgłosić błąd twórcom danego programu i poczekać na poprawioną wersję. Zwraca też uwagę, że nieszczęsny Kurt Roeckx nie zrozumiał tak naprawdę na czym polegał błąd, który próbował dwa lata temu załatać. Ben Laurie oczekuje, że twórcy dystrybucji przestaną chcieć na siłę dodawać coś od siebie do oprogramowania, które włączają do swoich dystrybucji i zostawią patchowanie autorom aplikacji.