GitHub imezuia funguo za SSH kwa watumiaji wa wateja wa Git wanaotumia maktaba ya JavaScript ya funguo kutengeneza vitufe. Kwa mfano, funguo za mteja wa Git GitKraken zilizuiwa. Athari hii husababisha kuzalishwa kwa funguo za RSA zinazoweza kutabirika kutokana na hitilafu ambayo inapunguza kwa kiasi kikubwa ubora wa entropy wakati wa kuzalisha mfuatano wa nasibu wa funguo. Suala lilirekebishwa katika matoleo ya 1.0.4 na GitKraken 8.0.1.
Sababu ya kuathiriwa ilikuwa matumizi ya simu ya "b.putByte(String.fromCharCode(next & 0xFF))" wakati wa mchakato wa kuunda ufunguo, licha ya ukweli kwamba mbinu ya fromCharCode iliitwa tena katika mbinu ya putByte. Kupiga simu kutoka kwaCharCode mara mbili ("String.fromCharCode(String.fromCharCode(ifuatayo & 0xFF)") ilisababisha bafa nyingi za entropy kujazwa na sufuri, yaani. ufunguo ulitolewa kulingana na data ya "nasibu", 97% yenye zero.
Chanzo: opennet.ru