GitHub کلیدهای SSH را برای کاربران کلاینت های Git که از کتابخانه جاوا اسکریپت جفت کلید برای تولید کلیدها استفاده می کنند، مسدود کرده است. برای مثال، کلیدهای کلاینت Git GitKraken مسدود شدند. این آسیبپذیری منجر به تولید کلیدهای RSA قابل پیشبینی به دلیل خطایی میشود که به طور قابلتوجهی کیفیت آنتروپی را هنگام تولید یک دنباله تصادفی برای کلیدها کاهش میدهد. این مشکل در نسخههای 1.0.4 و GitKraken 8.0.1 رفع شد.
دلیل این آسیبپذیری استفاده از فراخوانی b.putByte(String.fromCharCode(next & 0xFF)) در طول فرآیند تشکیل کلید بود، علیرغم اینکه متد fromCharCode دوباره در متد putByte فراخوانی شد. دوبار فراخوانی ازCharCode ("String.fromCharCode(String.fromCharCode(next & 0xFF)") منجر به پر شدن بیشتر بافر آنتروپی با صفر شد. کلید بر اساس داده های "تصادفی" تولید شد، 97٪ شامل صفر است.
منبع: opennet.ru