GitHub har blockerat SSH-nycklar för användare av Git-klienter som använder nyckelparets JavaScript-bibliotek för att generera nycklar. Till exempel blockerades nycklarna till Git-klienten GitKraken. Sårbarheten leder till generering av förutsägbara RSA-nycklar på grund av ett fel som avsevärt minskar kvaliteten på entropin vid generering av en slumpmässig sekvens för nycklarna. Problemet åtgärdades i nyckelpar 1.0.4 och GitKraken 8.0.1 versioner.
Anledningen till sårbarheten var användningen av "b.putByte(String.fromCharCode(next & 0xFF))"-anropet under nyckelbildningsprocessen, trots att fromCharCode-metoden anropades igen i putByte-metoden. Att anropa frånCharCode två gånger ("String.fromCharCode( String.fromCharCode(next & 0xFF)") resulterade i att större delen av entropibufferten fylldes med nollor, dvs. nyckeln genererades baserat på "slumpmässiga" data, 97 % bestående av nollor.
Källa: opennet.ru