GitHub калидҳои SSH-ро барои корбарони муштариёни Git, ки китобхонаи JavaScript-и калидҳоро барои тавлиди калидҳо истифода мебаранд, масдуд кардааст. Масалан, калидҳои муштарии Git GitKraken баста шуданд. осебпазирӣ боиси тавлиди калидҳои пешбинишавандаи RSA бо сабаби хатогӣ мегардад, ки сифати энтропияро ҳангоми тавлиди пайдарпайии тасодуфӣ барои калидҳо ба таври назаррас коҳиш медиҳад. Мушкилот дар версияҳои 1.0.4 ва GitKraken 8.0.1 ҳал карда шуд.
Сабаби осебпазирӣ истифодаи занги "b.putByte(String.fromCharCode(next & 0xFF))" дар ҷараёни ташаккули калидҳо буд, сарфи назар аз он, ки усули fromCharCode дар усули putByte дубора даъват шудааст. Ду маротиба занг задан азCharCode (“String.fromCharCode( String.fromCharCode(next & 0xFF)”) боиси он гардид, ки аксари буфери энтропия бо сифрҳо пур карда шуд, яъне. калид дар асоси маълумоти "тасодуфӣ" тавлид шудааст, ки 97% аз сифрҳо иборат аст.
Манбаъ: opennet.ru