GitHub zablokoval klíče SSH pro uživatele klientů Git, kteří ke generování klíčů používají JavaScriptovou knihovnu pro páry klíčů. Zablokovány byly například klíče klienta Git GitKraken. Tato zranitelnost vede ke generování předvídatelných RSA klíčů kvůli chybě, která výrazně snižuje kvalitu entropie při generování náhodné sekvence klíčů. Problém byl opraven ve verzích páru klíčů 1.0.4 a GitKraken 8.0.1.
Důvodem zranitelnosti bylo použití volání „b.putByte(String.fromCharCode(next & 0xFF))“ během procesu vytváření klíče, a to navzdory skutečnosti, že metoda fromCharCode byla znovu volána v metodě putByte. Dvojité volání fromCharCode („String.fromCharCode( String.fromCharCode(next & 0xFF)“) vedlo k tomu, že většina entropické vyrovnávací paměti byla vyplněna nulami, tzn. klíč byl vygenerován na základě „náhodných“ dat, 97 % sestávalo z nul.
Zdroj: opennet.ru