GitHub ha bloquejat les claus SSH per als usuaris de clients Git que utilitzen la biblioteca JavaScript de parells de tecles per generar claus. Per exemple, es van bloquejar les claus del client Git GitKraken. La vulnerabilitat condueix a la generació de claus RSA predictibles a causa d'un error que redueix significativament la qualitat de l'entropia quan es genera una seqüència aleatòria per a les claus. El problema es va solucionar a les versions del parell de claus 1.0.4 i GitKraken 8.0.1.
El motiu de la vulnerabilitat va ser l'ús de la trucada "b.putByte(String.fromCharCode(next & 0xFF))" durant el procés de formació de claus, malgrat que el mètode fromCharCode es va tornar a cridar al mètode putByte. La crida des de CharCode dues vegades ("String.fromCharCode(String.fromCharCode(next & 0xFF)") va provocar que la major part de la memòria intermèdia d'entropia s'omplia de zeros, és a dir. la clau es va generar a partir de dades "aleatòries", el 97% format per zeros.
Font: opennet.ru