GitHub ha bloqueado las claves SSH para los usuarios de clientes Git que utilizan la biblioteca JavaScript del par de claves para generar claves. Por ejemplo, se bloquearon las claves del cliente Git GitKraken. La vulnerabilidad conduce a la generación de claves RSA predecibles debido a un error que reduce significativamente la calidad de la entropía al generar una secuencia aleatoria de las claves. El problema se solucionó en las versiones del par de claves 1.0.4 y GitKraken 8.0.1.
El motivo de la vulnerabilidad fue el uso de la llamada “b.putByte(String.fromCharCode(next & 0xFF))” durante el proceso de formación de la clave, a pesar de que se volvió a llamar al método fromCharCode en el método putByte. Llamar a fromCharCode dos veces (“String.fromCharCode(String.fromCharCode(next & 0xFF)”) resultó en que la mayor parte del búfer de entropía se llenara con ceros, es decir, la clave se generó a partir de datos "aleatorios", el 97% de los cuales consta de ceros.
Fuente: opennet.ru