Το GitHub έχει αποκλείσει τα κλειδιά SSH για χρήστες πελατών Git που χρησιμοποιούν τη βιβλιοθήκη JavaScript ζεύγους κλειδιών για τη δημιουργία κλειδιών. Για παράδειγμα, τα κλειδιά του προγράμματος-πελάτη Git GitKraken αποκλείστηκαν. Η ευπάθεια οδηγεί στη δημιουργία προβλέψιμων κλειδιών RSA λόγω ενός σφάλματος που μειώνει σημαντικά την ποιότητα της εντροπίας κατά τη δημιουργία μιας τυχαίας ακολουθίας για τα κλειδιά. Το πρόβλημα επιδιορθώθηκε στις εκδόσεις ζεύγους κλειδιών 1.0.4 και GitKraken 8.0.1.
Ο λόγος για την ευπάθεια ήταν η χρήση της κλήσης "b.putByte(String.fromCharCode(next & 0xFF))" κατά τη διαδικασία σχηματισμού κλειδιού, παρά το γεγονός ότι η μέθοδος fromCharCode κλήθηκε ξανά στη μέθοδο putByte. Η κλήση από το CharCode δύο φορές ("String.fromCharCode( String.fromCharCode(next & 0xFF)") είχε ως αποτέλεσμα το μεγαλύτερο μέρος του buffer εντροπίας να γεμίσει με μηδενικά, π.χ. το κλειδί δημιουργήθηκε με βάση «τυχαία» δεδομένα, το 97% αποτελείται από μηδενικά.
Πηγή: opennet.ru