GitHub ha bloccato le chiavi SSH per gli utenti dei client Git che utilizzano la libreria JavaScript keypair per generare chiavi. Ad esempio, le chiavi del client Git GitKraken sono state bloccate. La vulnerabilità porta alla generazione di chiavi RSA prevedibili a causa di un errore che riduce significativamente la qualità dell'entropia durante la generazione di una sequenza casuale per le chiavi. Il problema è stato risolto nelle versioni keypair 1.0.4 e GitKraken 8.0.1.
Il motivo della vulnerabilità è stato l'utilizzo della chiamata "b.putByte(String.fromCharCode(next & 0xFF))" durante il processo di generazione della chiave, nonostante il metodo fromCharCode fosse stato richiamato nuovamente nel metodo putByte. Chiamando fromCharCode due volte ("String.fromCharCode( String.fromCharCode(next & 0xFF)") ha comportato il riempimento della maggior parte del buffer entropico con zeri, ovvero la chiave è stata generata sulla base di dati “casuali”, costituiti per il 97% da zeri.
Fonte: opennet.ru