GitHub blokis SSH-ŝlosilojn de Git-klientoj, kiuj uzas la ŝlosilparon de la JavaScript-biblioteko por generi ŝlosilojn. Ekzemple, la ŝlosiloj de la Git-kliento GitKraken estis blokitaj. La vundebleco kaŭzas la formadon de antaŭvideblaj RSA-ŝlosiloj pro eraro, kiu signife reduktas la kvaliton de entropio dum generado de hazarda sekvenco por ŝlosiloj. La problemo estas riparita en ŝlosilparo 1.0.4 kaj GitKraken 8.0.1.
La vundebleco estis kaŭzita de la uzo de la alvoko "b.putByte(String.fromCharCode(next & 0xFF))" dum la procezo de ŝlosilgenerado, dum la metodo fromCharCode estis denove alvokata en la metodo putByte. La duobla alvoko de fromCharCode ("String.fromCharCode( String.fromCharCode(next & 0xFF) )") rezultigis ke la plimulto de la entropia bufro estis plenigita per nuloj, t.e. la ŝlosilo estis generita surbaze de "hazardaj" datumoj, 97% konsistante el nuloj.
fonto: opennet.ru
