„GitHub“ užblokavo SSH raktus „Git“ klientų vartotojams, kurie raktams generuoti naudoja „JavaScript“ biblioteką. Pavyzdžiui, buvo užblokuoti Git kliento GitKraken raktai. Dėl pažeidžiamumo generuojami nuspėjami RSA raktai dėl klaidos, kuri žymiai sumažina entropijos kokybę generuojant atsitiktinę raktų seką. Problema buvo išspręsta naudojant 1.0.4 ir GitKraken 8.0.1 raktų porą.
Pažeidžiamumo priežastis buvo „b.putByte(String.fromCharCode(next & 0xFF))“ iškvietimas rakto formavimo procese, nepaisant to, kad metodas fromCharCode dar kartą buvo iškviestas naudojant putByte metodą. Du kartus iškvietus fromCharCode („String.fromCharCode( String.fromCharCode(next & 0xFF)”), didžioji entropijos buferio dalis buvo užpildyta nuliais, t.y. raktas buvo sugeneruotas remiantis „atsitiktiniais“ duomenimis, 97% susideda iš nulių.
Šaltinis: opennet.ru