GitHub zablokował klucze SSH dla użytkowników klientów Git, którzy używają biblioteki JavaScript pary kluczy do generowania kluczy. Na przykład klucze klienta Git GitKraken zostały zablokowane. Luka prowadzi do generowania przewidywalnych kluczy RSA z powodu błędu, który znacznie obniża jakość entropii podczas generowania losowej sekwencji kluczy. Problem został rozwiązany w wydaniach pary kluczy 1.0.4 i GitKraken 8.0.1.
Przyczyną podatności było użycie wywołania „b.putByte(String.fromCharCode(next & 0xFF))” podczas procesu tworzenia klucza, pomimo ponownego wywołania metody fromCharCode w metodzie putByte. Dwukrotne wywołanie metody fromCharCode („String.fromCharCode(String.fromCharCode(next & 0xFF)”) spowodowało, że większość bufora entropii została wypełniona zerami, tj. klucz został wygenerowany na podstawie danych „losowych”, składających się w 97% z zer.
Źródło: opennet.ru