GitHub bloke kle SSH pou itilizatè kliyan Git ki itilize bibliyotèk JavaScript keypair pou jenere kle. Pou egzanp, kle yo nan kliyan Git GitKraken yo te bloke. Vilnerabilite a mennen nan jenerasyon kle RSA previzib akòz yon erè ki siyifikativman diminye kalite antropi lè jenere yon sekans o aza pou kle yo. Pwoblèm nan te fikse nan keypair 1.0.4 ak GitKraken 8.0.1 degaje.
Rezon ki fè vilnerabilite a te itilize nan "b.putByte(String.fromCharCode(next & 0xFF))" apèl pandan pwosesis fòmasyon kle a, malgre lefèt ke metòd la fromCharCode te rele ankò nan metòd la putByte. Lè w rele soti nanCharCode de fwa ("String.fromCharCode(String.fromCharCode(next & 0xFF)") te lakòz pi fò nan tanpon antropi a te ranpli ak zewo, i.e. kle a te pwodwi ki baze sou done "o aza", 97% ki gen ladan zewo.
Sous: opennet.ru