GitHub кілттерді жасау үшін JavaScript пернелер жұбының кітапханасын пайдаланатын Git клиенттерінің пайдаланушылары үшін SSH кілттерін бұғаттады. Мысалы, Git клиентінің GitKraken кілттері бұғатталды. Осалдық кілттер үшін кездейсоқ тізбекті құру кезінде энтропия сапасын айтарлықтай төмендететін қатеге байланысты болжамды RSA кілттерінің генерациясына әкеледі. Мәселе 1.0.4 пернелер жұбы және GitKraken 8.0.1 шығарылымдарында түзетілді.
Осалдықтың себебі, putByte әдісінде fromCharCode әдісі қайта шақырылғанына қарамастан, кілтті қалыптастыру процесі кезінде «b.putByte(String.fromCharCode(next & 0xFF))» шақыруын пайдалану болды. FromCharCode-ге екі рет қоңырау шалу («String.fromCharCode( String.fromCharCode(next & 0xFF)") энтропия буферінің көп бөлігін нөлдермен толтыруға әкелді, яғни. кілт «кездейсоқ» деректер негізінде жасалды, 97% нөлдерден тұрады.
Ақпарат көзі: opennet.ru
