GitHub ได้บล็อกคีย์ SSH สำหรับผู้ใช้ไคลเอนต์ Git ที่ใช้ไลบรารี JavaScript ของคู่คีย์เพื่อสร้างคีย์ ตัวอย่างเช่น คีย์ของไคลเอ็นต์ Git GitKraken ถูกบล็อก ช่องโหว่ดังกล่าวนำไปสู่การสร้างคีย์ RSA ที่คาดเดาได้ เนื่องจากข้อผิดพลาดที่ลดคุณภาพของเอนโทรปีลงอย่างมากเมื่อสร้างลำดับแบบสุ่มสำหรับคีย์ ปัญหานี้ได้รับการแก้ไขแล้วในคู่คีย์ 1.0.4 และ GitKraken 8.0.1
สาเหตุของช่องโหว่คือการใช้การเรียก “b.putByte(String.fromCharCode(next & 0xFF))” ในระหว่างกระบวนการสร้างคีย์ แม้ว่าจะมีการเรียกเมธอด fromCharCode อีกครั้งในเมธอด putByte ก็ตาม การเรียก fromCharCode สองครั้ง (“String.fromCharCode( String.fromCharCode(next & 0xFF)”) ส่งผลให้บัฟเฟอร์เอนโทรปีส่วนใหญ่เต็มไปด้วยเลขศูนย์ เช่น คีย์ถูกสร้างขึ้นตามข้อมูล "สุ่ม" โดย 97% ประกอบด้วยศูนย์
ที่มา: opennet.ru