GitHub ha bloccato le chiavi SSH generate tramite la libreria keypair.

GitHub ha bloccato le chiavi SSH degli utenti dei client Git che utilizzano la libreria JavaScript keypair per generare le chiavi. Ad esempio, le chiavi del client Git GitKraken sono state compromesse. La vulnerabilità porta alla generazione di chiavi RSA prevedibili a causa di un errore che riduce drasticamente la qualità dell'entropia durante la generazione di una sequenza casuale per le chiavi. Il problema è stato risolto nelle versioni 1.0.4 di keypair e 8.0.1 di GitKraken.

La causa della vulnerabilità è stata l'uso nel processo di formazione della chiave della chiamata "b.putByte(String.fromCharCode(next & 0xFF))", mentre nel metodo putByte veniva chiamato di nuovo il metodo fromCharCode. La doppia chiamata a fromCharCode ("String.fromCharCode( String.fromCharCode(next & 0xFF) )") portava a riempire gran parte del buffer con entropia di zeri, cioè la chiave veniva generata sulla base di dati "casuali" che erano per il 97% costituiti da zeri.

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster