GitHub parantos ngablokir konci SSH pikeun pangguna klien Git anu nganggo perpustakaan JavaScript keypair pikeun ngahasilkeun konci. Contona, konci klien Git GitKraken diblokir. Kerentanan nyababkeun generasi konci RSA anu tiasa diprediksi kusabab kasalahan anu sacara signifikan ngirangan kualitas éntropi nalika ngahasilkeun sekuen acak pikeun konci éta. Masalahna dibereskeun dina keypair 1.0.4 sareng GitKraken 8.0.1 release.
Alesan keur kerentanan éta pamakéan "b.putByte (String.fromCharCode (salajengna & 0xFF))" nelepon salila prosés formasi konci, sanajan kanyataan yén métode fromCharCode ieu disebut deui dina metoda putByte. Nelepon tiCharCode dua kali ("String.fromCharCode ( String.fromCharCode (next & 0xFF)") nyababkeun kalolobaan panyangga éntropi dieusian ku nol, nyaéta. konci ieu dihasilkeun dumasar kana data "acak", 97% diwangun ku nol.
sumber: opennet.ru