GitHub заблокував SSH-ключі користувачів Git-клієнтів, які використовують для генерації ключів JavaScript-бібліотеку keypair. Наприклад, під блокування потрапили ключі Git-клієнта GitKraken. Вразливість призводить до формування передбачуваних RSA-ключів через помилку, що істотно знижує якість ентропії при генерації випадкової послідовності ключів. Проблема усунена у випусках keypair 1.0.4 і GitKraken 8.0.1.
Причиною появи вразливості стало використання у процесі формування ключа виклику «b.putByte(String.fromCharCode(next & 0xFF))» у тому, що у методі putByte ще раз викликався метод fromCharCode. Подвійний виклик fromCharCode («String.fromCharCode(String.fromCharCode(next & 0xFF) )») призводив до того що більшість буфера з ентропією виявлялася заповнена нулями, тобто. ключ генерувався на основі «випадкових» даних, що на 97% складаються з нулів.
Джерело: opennet.ru