GitHub har blokkert SSH-nøkler for brukere av Git-klienter som bruker nøkkelparets JavaScript-bibliotek for å generere nøkler. For eksempel ble nøklene til Git-klienten GitKraken blokkert. Sårbarheten fører til generering av forutsigbare RSA-nøkler på grunn av en feil som reduserer kvaliteten på entropien betydelig ved generering av en tilfeldig sekvens for nøklene. Problemet ble løst i nøkkelpar 1.0.4 og GitKraken 8.0.1 utgivelser.
Årsaken til sårbarheten var bruken av "b.putByte(String.fromCharCode(next & 0xFF))"-kallet under nøkkeldannelsesprosessen, til tross for at fromCharCode-metoden ble kalt igjen i putByte-metoden. Å ringe fraCharCode to ganger ("String.fromCharCode( String.fromCharCode(neste & 0xFF)") resulterte i at det meste av entropibufferen ble fylt med nuller, dvs. nøkkelen ble generert basert på "tilfeldige" data, 97 % bestående av nuller.
Kilde: opennet.ru