A GitHub letiltotta az SSH-kulcsokat azon Git-kliensek felhasználói számára, akik a kulcspáros JavaScript-könyvtárat használják kulcsok generálására. Például a Git-kliens GitKraken kulcsait blokkolták. A biztonsági rés kiszámítható RSA-kulcsok generálásához vezet egy hiba miatt, amely jelentősen csökkenti az entrópia minőségét a kulcsok véletlenszerű sorozatának generálásakor. A problémát az 1.0.4-es és a GitKraken 8.0.1-es kulcspárban javították.
A sérülékenység oka a „b.putByte(String.fromCharCode(next & 0xFF))” hívás használata volt a kulcsképzés során, annak ellenére, hogy a putByte metódusban a fromCharCode metódus ismét meghívásra került. A from CharCode kétszeri hívása („String.fromCharCode( String.fromCharCode(next & 0xFF)”) azt eredményezte, hogy az entrópiapuffer nagy része nullákkal volt feltöltve, azaz. a kulcsot „véletlenszerű” adatok alapján állították elő, 97%-a nullákból állt.
Forrás: opennet.ru