GitHub telah memblokir kunci SSH untuk pengguna klien Git yang menggunakan pustaka JavaScript keypair untuk menghasilkan kunci. Misalnya, kunci klien Git GitKraken diblokir. Kerentanan mengarah pada pembuatan kunci RSA yang dapat diprediksi karena kesalahan yang secara signifikan mengurangi kualitas entropi saat menghasilkan urutan acak untuk kunci tersebut. Masalah ini telah diperbaiki pada rilis keypair 1.0.4 dan GitKraken 8.0.1.
Alasan kerentanan ini adalah penggunaan panggilan βb.putByte(String.fromCharCode(next & 0xFF))β selama proses pembentukan kunci, meskipun faktanya metode fromCharCode dipanggil lagi dalam metode putByte. Memanggil fromCharCode dua kali (βString.fromCharCode( String.fromCharCode(next & 0xFF)β) mengakibatkan sebagian besar buffer entropi diisi dengan nol, yaitu kuncinya dihasilkan berdasarkan data βacakβ, 97% terdiri dari nol.
Sumber: opennet.ru