GitHub blokis SSH-ŝlosilojn por uzantoj de Git-klientoj, kiuj uzas la klavparon JavaScript-bibliotekon por generi ŝlosilojn. Ekzemple, la ŝlosiloj de la Git-kliento GitKraken estis blokitaj. La vundebleco kondukas al la generacio de antaŭvideblaj RSA-ŝlosiloj pro eraro kiu signife reduktas la kvaliton de entropio dum generado de hazarda sekvenco por la ŝlosiloj. La problemo estis riparita en ŝlosilparo 1.0.4 kaj GitKraken 8.0.1 eldonoj.
La kialo de la vundebleco estis la uzo de la "b.putByte(String.fromCharCode(next & 0xFF))" alvoko dum la ŝlosilforma procezo, malgraŭ tio, ke la metodo fromCharCode denove estis vokita en la putByte-metodo. Voki fromCharCode dufoje ("String.fromCharCode( String.fromCharCode(next & 0xFF)") rezultigis la plej grandan parton de la entropiobufro plenigita kun nuloj, t.e. la ŝlosilo estis generita surbaze de "hazarda" datumoj, 97% konsistantaj el nuloj.
fonto: opennet.ru