GitHub заблокировал SSH-ключи, сгенерированные при помощи библиотеки keypair

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
12-Окт-2021 19:30

GitHub заблокировал SSH-ключи пользователей Git-клиентов, использующих для генерации ключей JavaScript-библиотеку keypair. Например, под блокировку попали ключи Git-клиента GitKraken. Уязвимость приводит к формированию предсказуемых RSA-ключей из-за ошибки, существенно снижающей качество энтропии при генерации случайной последовательности для ключей. Проблема устранена в выпусках keypair 1.0.4 и в GitKraken 8.0.1.
Причиной появления уязвимости стало использование в процессе формирования ключа вызова "b.putByte(String.fromCharCode(next & 0xFF))" при том, что в методе putByte ещё раз вызывался метод fromCharCode. Двойной вызов fromCharCode ("String.fromCharCode( String.fromCharCode(next & 0xFF) )") приводил к тому, что большая часть буфера c энтропией оказывалась заполнена нулями, т.е. ключ генерировался на основе "случайных" данных, на 97%
состоящих из нулей.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_keypair, #_github, #_rsa, #_rnd
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 07:13
Часовой пояс: UTC + 5