GitHub a blocat cheile SSH pentru utilizatorii clienților Git care folosesc biblioteca JavaScript pereche de chei pentru a genera chei. De exemplu, cheile clientului Git GitKraken au fost blocate. Vulnerabilitatea duce la generarea de chei RSA previzibile din cauza unei erori care reduce semnificativ calitatea entropiei atunci când se generează o secvență aleatorie pentru chei. Problema a fost rezolvată în perechea de chei 1.0.4 și versiunile GitKraken 8.0.1.
Motivul vulnerabilității a fost utilizarea apelului „b.putByte(String.fromCharCode(next & 0xFF))” în timpul procesului de formare a cheii, în ciuda faptului că metoda fromCharCode a fost apelată din nou în metoda putByte. Apelarea de la CharCode de două ori ("String.fromCharCode( String.fromCharCode(next & 0xFF)") a dus la umplerea majorității tamponului de entropie cu zerouri, de exemplu. cheia a fost generată pe baza datelor „aleatorie”, 97% constând din zerouri.
Sursa: opennet.ru