GitHub je blokirao SSH ključeve za korisnike Git klijenata koji koriste JavaScript biblioteku para ključeva za generiranje ključeva. Na primjer, ključevi Git klijenta GitKraken su blokirani. Ranjivost dovodi do generisanja predvidljivih RSA ključeva zbog greške koja značajno smanjuje kvalitet entropije prilikom generisanja slučajnog niza za ključeve. Problem je popravljen u izdanjima keypair 1.0.4 i GitKraken 8.0.1.
Razlog za ranjivost bila je upotreba poziva „b.putByte(String.fromCharCode(next & 0xFF))” tokom procesa formiranja ključa, uprkos činjenici da je metoda fromCharCode ponovo pozvana u metodi putByte. Pozivanje fromCharCode dvaput (“String.fromCharCode( String.fromCharCode(next & 0xFF)”) rezultiralo je da je većina entropijskog bafera popunjena nulama, tj. ključ je generiran na osnovu “slučajnih” podataka, 97% se sastoji od nula.
izvor: opennet.ru