GitHub 已阻止使用密钥对 JavaScript 库生成密钥的 Git 客户端用户的 SSH 密钥。 例如,Git 客户端 GitKraken 的密钥被封锁。 该漏洞会导致生成可预测的 RSA 密钥,因为在生成密钥的随机序列时会出现显着降低熵质量的错误。 该问题已在密钥对 1.0.4 和 GitKraken 8.0.1 版本中修复。
该漏洞的原因是在密钥形成过程中使用了“b.putByte(String.fromCharCode(next & 0xFF))”调用,尽管在 putByte 方法中再次调用了 fromCharCode 方法。 调用 fromCharCode 两次(“String.fromCharCode( String.fromCharCode(next & 0xFF)”)导致大部分熵缓冲区被零填充,即密钥是根据“随机”数据生成的,其中 97% 由零组成。
来源: opennet.ru