GitHub-ն արգելափակել է SSH ստեղները Git-ի հաճախորդների օգտատերերի համար, որոնք օգտագործում են ստեղնաշարի JavaScript գրադարանը՝ բանալիներ ստեղծելու համար: Օրինակ, Git հաճախորդի GitKraken-ի բանալիներն արգելափակվել են։ Խոցելիությունը հանգեցնում է կանխատեսելի RSA ստեղների ստեղծմանը սխալի պատճառով, որը զգալիորեն նվազեցնում է էնտրոպիայի որակը բանալիների համար պատահական հաջորդականություն ստեղծելիս: Խնդիրը շտկվել է keypair 1.0.4 և GitKraken 8.0.1 թողարկումներում:
Խոցելիության պատճառը եղել է «b.putByte(String.fromCharCode(next & 0xFF))» զանգի օգտագործումը բանալու ձևավորման գործընթացում, չնայած այն հանգամանքին, որ fromCharCode մեթոդը կրկին կանչվել է putByte մեթոդով։ CharCode-ից երկու անգամ զանգահարելը («String.fromCharCode( String.fromCharCode(next & 0xFF)») հանգեցրել է նրան, որ էնտրոպիայի բուֆերի մեծ մասը լցված է զրոներով, այսինքն. բանալին ստեղծվել է «պատահական» տվյալների հիման վրա՝ 97%-ը բաղկացած է զրոներից:
Source: opennet.ru