GitHub imblokka ċwievet SSH għall-utenti tal-klijenti Git li jużaw il-librerija JavaScript tal-keypair biex jiġġeneraw ċwievet. Pereżempju, iċ-ċwievet tal-klijent Git GitKraken ġew imblukkati. Il-vulnerabbiltà twassal għall-ġenerazzjoni ta 'ċwievet RSA prevedibbli minħabba żball li jnaqqas b'mod sinifikanti l-kwalità tal-entropija meta tiġġenera sekwenza każwali għaċ-ċwievet. Il-kwistjoni ġiet iffissata fir-rilaxxi ta 'keypair 1.0.4 u GitKraken 8.0.1.
Ir-raġuni għall-vulnerabbiltà kienet l-użu tas-sejħa "b.putByte(String.fromCharCode(next & 0xFF))" matul il-proċess ta 'formazzjoni taċ-ċavetta, minkejja l-fatt li l-metodu fromCharCode reġa' ġie msejjaħ fil-metodu putByte. Sejħa mill-CharCode darbtejn ("String.fromCharCode( String.fromCharCode(next & 0xFF)") irriżulta fil-biċċa l-kbira tal-buffer tal-entropija mimlija b'żerijiet, i.e. iċ-ċavetta kienet iġġenerata bbażata fuq data "każwali", 97% tikkonsisti f'żerijiet.
Sors: opennet.ru