GitHub hefur lokað á SSH lykla fyrir notendur Git viðskiptavina sem nota JavaScript lyklabókasafnið til að búa til lykla. Til dæmis var lyklunum á Git biðlaranum GitKraken lokað. Varnarleysið leiðir til myndunar fyrirsjáanlegra RSA lykla vegna villu sem dregur verulega úr gæðum óreiðu þegar búið er til handahófskennd röð fyrir lyklana. Málið var lagað í lyklapar 1.0.4 og GitKraken 8.0.1 útgáfum.
Ástæðan fyrir varnarleysinu var notkun „b.putByte(String.fromCharCode(next & 0xFF))“ kallsins meðan á lyklamyndunarferlinu stóð, þrátt fyrir að fromCharCode aðferðin hafi verið kölluð aftur í putByte aðferðinni. Að hringja frá CharCode tvisvar ("String.fromCharCode( String.fromCharCode(next & 0xFF)") leiddi til þess að megnið af óreiðubuffi var fyllt með núllum, þ.e. Lykillinn var búinn til á grundvelli „handahófs“ gagna, 97% samanstanda af núllum.
Heimild: opennet.ru