GitHub, anahtar oluşturmak için keypair JavaScript kitaplığını kullanan Git istemcilerinin kullanıcıları için SSH anahtarlarını engelledi. Örneğin Git istemcisi GitKraken'in anahtarları engellendi. Güvenlik açığı, anahtarlar için rastgele bir dizi oluştururken entropi kalitesini önemli ölçüde azaltan bir hata nedeniyle öngörülebilir RSA anahtarlarının oluşturulmasına yol açıyor. Sorun, anahtar çifti 1.0.4 ve GitKraken 8.0.1 sürümlerinde düzeltildi.
Güvenlik açığının nedeni, putByte yönteminde tekrar fromCharCode yöntemi çağrılmasına rağmen anahtar oluşturma işlemi sırasında “b.putByte(String.fromCharCode(next & 0xFF))” çağrısının kullanılmasıydı. fromCharCode'u iki kez çağırmak ("String.fromCharCode( String.fromCharCode(next & 0xFF)"), entropi arabelleğinin çoğunun sıfırlarla doldurulmasına neden oldu; anahtar, %97'si sıfırlardan oluşan "rastgele" verilere dayanarak oluşturuldu.
Kaynak: opennet.ru