GitHub 已阻止使用金鑰對 JavaScript 庫產生金鑰的 Git 用戶端使用者的 SSH 金鑰。例如,Git 用戶端 GitKraken 的金鑰被封鎖。此漏洞會導致產生可預測的 RSA 金鑰,因為在產生金鑰的隨機序列時會出現顯著降低熵品質的錯誤。該問題已在密鑰對 1.0.4 和 GitKraken 8.0.1 版本中修復。
這個漏洞的原因是在金鑰形成過程中使用了「b.putByte(String.fromCharCode(next & 0xFF))」調用,儘管在 putByte 方法中再次調用了 fromCharCode 方法。呼叫 fromCharCode 兩次(“String.fromCharCode( String.fromCharCode(next & 0xFF)”)導致大部分熵緩衝區被零填充,即密鑰是根據「隨機」資料產生的,其中 97% 由零組成。
來源: opennet.ru