GitHub wis mblokir kunci SSH kanggo pangguna klien Git sing nggunakake perpustakaan JavaScript keypair kanggo ngasilake kunci. Contone, kunci klien Git GitKraken diblokir. Kerentanan nyebabake generasi kunci RSA sing bisa diprediksi amarga kesalahan sing nyuda kualitas entropi nalika nggawe urutan acak kanggo tombol kasebut. Masalah kasebut diatasi ing keypair 1.0.4 lan Rilis GitKraken 8.0.1.
Alesan kanggo kerentanan kasebut yaiku nggunakake panggilan "b.putByte (String.fromCharCode (sabanjure & 0xFF))" sajrone proses pambentukan tombol, senadyan kasunyatan manawa metode fromCharCode diarani maneh ing metode putByte. Nelpon sakaCharCode kaping pindho ("String.fromCharCode ( String.fromCharCode (sabanjure & 0xFF)") nyebabake sebagian besar buffer entropi diisi nol, yaiku. tombol kui adhedhasar data "acak", 97% dumadi saka nul.
Source: opennet.ru