قام GitHub بحظر مفاتيح SSH لمستخدمي عملاء Git الذين يستخدمون مكتبة JavaScript الخاصة بزوج المفاتيح لإنشاء المفاتيح. على سبيل المثال، تم حظر مفاتيح عميل Git GitKraken. تؤدي الثغرة الأمنية إلى إنشاء مفاتيح RSA يمكن التنبؤ بها بسبب خطأ يقلل بشكل كبير من جودة الإنتروبيا عند إنشاء تسلسل عشوائي للمفاتيح. تم إصلاح المشكلة في إصداري keypair 1.0.4 وGitKraken 8.0.1.
كان سبب الثغرة الأمنية هو استخدام استدعاء "b.putByte(String.fromCharCode(next & 0xFF))" أثناء عملية تكوين المفتاح، على الرغم من أنه تم استدعاء أسلوب fromCharCode مرة أخرى في أسلوب putByte. أدى الاتصال بـ fromCharCode مرتين ("String.fromCharCode( String.fromCharCode(next & 0xFF)") إلى ملء معظم المخزن المؤقت للإنتروبيا بالأصفار، أي. تم إنشاء المفتاح بناءً على بيانات "عشوائية"، 97% منها عبارة عن أصفار.
المصدر: opennet.ru