GitHub hà bluccatu i chjavi SSH per l'utilizatori di i clienti Git chì utilizanu a biblioteca di JavaScript per generà chjave. Per esempiu, i chjavi di u cliente Git GitKraken sò stati bluccati. A vulnerabilità porta à a generazione di chjavi RSA prevedibili per un errore chì reduce significativamente a qualità di l'entropia quandu genera una sequenza aleatoria per i chjavi. U prublema hè stata risolta in e versioni di keypair 1.0.4 è GitKraken 8.0.1.
U mutivu di a vulnerabilità era l'usu di a chjama "b.putByte(String.fromCharCode(next & 0xFF))" durante u prucessu di furmazione chjave, malgradu u fattu chì u metudu fromCharCode hè statu chjamatu novu in u metudu putByte. Chjamendu da CharCode duie volte ("String.fromCharCode(String.fromCharCode(next & 0xFF)") hà risultatu in a maiò parte di u buffer di entropia chì hè stata piena di zeri, i.e. a chjave hè stata generata in basa di dati "aleatoriu", 97% cumpostu di zeri.
Source: opennet.ru