GitHub har blokeret SSH-nøgler for brugere af Git-klienter, der bruger nøgleparrets JavaScript-bibliotek til at generere nøgler. For eksempel blev nøglerne til Git-klienten GitKraken blokeret. Sårbarheden fører til generering af forudsigelige RSA-nøgler på grund af en fejl, der væsentligt reducerer kvaliteten af entropien, når der genereres en tilfældig sekvens for nøglerne. Problemet blev rettet i nøglepar 1.0.4 og GitKraken 8.0.1 udgivelser.
Årsagen til sårbarheden var brugen af "b.putByte(String.fromCharCode(next & 0xFF))"-kaldet under nøglegenereringsprocessen, på trods af at fromCharCode-metoden blev kaldt igen i putByte-metoden. At kalde fraCharCode to gange ("String.fromCharCode( String.fromCharCode(next & 0xFF)") resulterede i, at det meste af entropibufferen blev fyldt med nuller, dvs. nøglen blev genereret baseret på "tilfældige" data, 97% bestående af nuller.
Kilde: opennet.ru