GitHub ir bloķējis SSH atslēgas Git klientu lietotājiem, kuri atslēgu ģenerēšanai izmanto atslēgu pāra JavaScript bibliotēku. Piemēram, tika bloķētas Git klienta GitKraken atslēgas. Ievainojamība izraisa paredzamu RSA atslēgu ģenerēšanu kļūdas dēļ, kas ievērojami samazina entropijas kvalitāti, ģenerējot nejaušu atslēgu secību. Problēma tika novērsta atslēgu pāra 1.0.4 un GitKraken 8.0.1 laidienos.
Ievainojamības iemesls bija izsaukuma “b.putByte(String.fromCharCode(next & 0xFF))” izmantošana atslēgas veidošanas procesā, neskatoties uz to, ka putByte metodē atkal tika izsaukta fromCharCode metode. Divreiz izsaucot no CharCode (“String.fromCharCode( String.fromCharCode(next & 0xFF)”), lielākā daļa entropijas bufera tika aizpildīta ar nullēm, t.i. atslēga tika ģenerēta, pamatojoties uz “nejaušiem” datiem, 97% sastāv no nullēm.
Avots: opennet.ru