GitHub je blokirao SSH ključeve za korisnike Git klijenata koji koriste JavaScript biblioteku para ključeva za generiranje ključeva. Na primjer, ključevi Git klijenta GitKraken bili su blokirani. Ranjivost dovodi do generiranja predvidljivih RSA ključeva zbog pogreške koja značajno smanjuje kvalitetu entropije prilikom generiranja slučajnog niza za ključeve. Problem je riješen u izdanjima para ključeva 1.0.4 i GitKraken 8.0.1.
Razlog za ranjivost bila je upotreba poziva “b.putByte(String.fromCharCode(next & 0xFF))” tijekom procesa formiranja ključa, unatoč činjenici da je metoda fromCharCode ponovno pozvana u metodi putByte. Dva puta pozivanje fromCharCode (“String.fromCharCode( String.fromCharCode(next & 0xFF)”) rezultiralo je time da je većina entropijskog međuspremnika ispunjena nulama, tj. ključ je generiran na temelju "slučajnih" podataka, 97% koji se sastoji od nula.
Izvor: opennet.ru