GitHub zablokoval kľúče SSH pre používateľov klientov Git, ktorí na generovanie kľúčov používajú knižnicu JavaScript pre páry kľúčov. Zablokované boli napríklad kľúče klienta Git GitKraken. Zraniteľnosť vedie ku generovaniu predvídateľných RSA kľúčov v dôsledku chyby, ktorá výrazne znižuje kvalitu entropie pri generovaní náhodnej sekvencie kľúčov. Problém bol vyriešený vo verziách páru kľúčov 1.0.4 a GitKraken 8.0.1.
Dôvodom zraniteľnosti bolo použitie volania „b.putByte(String.fromCharCode(next & 0xFF))“ počas procesu vytvárania kľúča, napriek tomu, že metóda fromCharCode bola opäť volaná v metóde putByte. Dvojité volanie fromCharCode („String.fromCharCode( String.fromCharCode(next & 0xFF)“) malo za následok, že väčšina vyrovnávacej pamäte entropie bola naplnená nulami, t.j. kľúč bol vygenerovaný na základe „náhodných“ údajov, z ktorých 97 % pozostávalo z núl.
Zdroj: opennet.ru