GitHub a bloqué les clés SSH pour les utilisateurs de clients Git qui utilisent la bibliothèque JavaScript de paires de clés pour générer des clés. Par exemple, les clés du client Git GitKraken ont été bloquées. La vulnérabilité conduit à la génération de clés RSA prévisibles en raison d'une erreur qui réduit considérablement la qualité de l'entropie lors de la génération d'une séquence aléatoire pour les clés. Le problème a été résolu dans les versions keypair 1.0.4 et GitKraken 8.0.1.
La raison de la vulnérabilité était l'utilisation de l'appel « b.putByte(String.fromCharCode(next & 0xFF)) » pendant le processus de génération de clé, malgré le fait que la méthode fromCharCode ait été à nouveau appelée dans la méthode putByte. L'appel de fromCharCode deux fois («String.fromCharCode( String.fromCharCode(next & 0xFF)») entraînait le remplissage de la majeure partie du tampon d'entropie avec des zéros, c'est-à-dire la clé a été générée sur la base de données « aléatoires », constituées à 97 % de zéros.
Source: opennet.ru