GitHub on blokeerinud SSH-võtmed nende Giti klientide kasutajatele, kes kasutavad võtmete genereerimiseks võtmepaari JavaScripti teeki. Näiteks blokeeriti Giti kliendi GitKrakeni võtmed. Haavatavus toob kaasa ennustatavate RSA-võtmete genereerimise vea tõttu, mis vähendab oluliselt entroopia kvaliteeti võtmete juhusliku järjestuse genereerimisel. Probleem lahendati võtmepaari 1.0.4 ja GitKraken 8.0.1 versioonides.
Haavatavuse põhjuseks oli väljakutse "b.putByte(String.fromCharCode(next & 0xFF))" kasutamine võtme genereerimise protsessis, hoolimata asjaolust, et putByte meetodis kutsuti uuesti fromCharCode meetod. CharCode'ist kaks korda helistamine (“String.fromCharCode( String.fromCharCode(next & 0xFF)”) tõi kaasa selle, et suurem osa entroopiapuhvrist täitus nullidega, st. võti genereeriti “juhuslike” andmete põhjal, millest 97% koosnes nullidest.
Allikas: opennet.ru