GitHub는 키 쌍 JavaScript 라이브러리를 사용하여 키를 생성하는 Git 클라이언트 사용자의 SSH 키를 차단했습니다. 예를 들어 Git 클라이언트 GitKraken의 키가 차단되었습니다. 이 취약점으로 인해 키에 대한 무작위 시퀀스를 생성할 때 엔트로피 품질을 크게 저하시키는 오류로 인해 예측 가능한 RSA 키가 생성됩니다. 이 문제는 키페어 1.0.4 및 GitKraken 8.0.1 릴리스에서 수정되었습니다.
취약점의 원인은 putByte 메소드에서 fromCharCode 메소드가 다시 호출되었음에도 불구하고 키 생성 과정에서 “b.putByte(String.fromCharCode(next & 0xFF))” 호출을 사용했기 때문입니다. fromCharCode를 두 번 호출하면(“String.fromCharCode( String.fromCharCode(next & 0xFF)”) 엔트로피 버퍼의 대부분이 97으로 채워집니다. 키는 XNUMX%가 XNUMX으로 구성된 "무작위" 데이터를 기반으로 생성되었습니다.
출처 : opennet.ru