GitHub on estänyt SSH-avaimet Git-asiakkaiden käyttäjiltä, jotka käyttävät avainparin JavaScript-kirjastoa avainten luomiseen. Esimerkiksi Git-asiakkaan GitKrakenin avaimet estettiin. Haavoittuvuus johtaa ennustettavien RSA-avaimien luomiseen virheen vuoksi, joka heikentää merkittävästi entropian laatua luotaessa satunnaista sekvenssiä avaimille. Ongelma korjattiin avainparissa 1.0.4 ja GitKraken 8.0.1.
Syynä haavoittumiseen oli "b.putByte(String.fromCharCode(next & 0xFF))"-kutsun käyttö avaimenmuodostusprosessin aikana, vaikka putByte-menetelmässä kutsuttiin uudelleen fromCharCode-metodi. Kutsuminen from CharCode kahdesti ("String.fromCharCode( String.fromCharCode(next & 0xFF)") johti siihen, että suurin osa entropiapuskurista täyttyi nolilla, ts. avain luotiin "satunnaisten" tietojen perusteella, joista 97 % koostui nollia.
Lähde: opennet.ru