GitHub نے Git کلائنٹس کے صارفین کے لیے SSH کیز کو مسدود کر دیا ہے جو کلیدوں کو بنانے کے لیے جاوا اسکرپٹ لائبریری کا استعمال کرتے ہیں۔ مثال کے طور پر، Git کلائنٹ GitKraken کی چابیاں بلاک کر دی گئی تھیں۔ کمزوری ایک غلطی کی وجہ سے پیشین گوئی کرنے والی RSA کلیدوں کی تخلیق کا باعث بنتی ہے جو کیز کے لیے بے ترتیب ترتیب پیدا کرتے وقت اینٹروپی کے معیار کو نمایاں طور پر کم کر دیتی ہے۔ مسئلہ کی پیئر 1.0.4 اور GitKraken 8.0.1 ریلیز میں طے کیا گیا تھا۔
خطرے کی وجہ کلیدی تشکیل کے عمل کے دوران "b.putByte(String.fromCharCode(next & 0xFF))" کال کا استعمال تھا، اس حقیقت کے باوجود کہ fromCharCode طریقہ کو putByte طریقہ میں دوبارہ کال کیا گیا تھا۔ CharCode سے دو بار کال کرنے سے ("String.fromCharCode( String.fromCharCode(next & 0xFF)") کا نتیجہ یہ نکلا کہ زیادہ تر اینٹروپی بفر زیرو سے بھر گیا، یعنی کلید "بے ترتیب" ڈیٹا کی بنیاد پر تیار کی گئی تھی، 97% صفر پر مشتمل ہے۔
ماخذ: opennet.ru