瞎扯淡 为什么要升级?

hooopo · 2011年12月30日 · 最后由 bony 回复于 2012年02月04日 · 2954 次阅读

12 月 28 号,因为一个安全漏洞,Ruby1.8.7-p357 发布 (http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm/ )

似乎大家都在忙着改密码去了,没人关注这个...

这个安全漏洞似乎不只影响 Ruby1.8.7,还影响其他语言: http://www.laruence.com/2011/12/29/2412.html

看到好多人不喜欢升级,只想守着一份可以运行的代码,管他什么版本什么时候 release 呢 不升级的理由各种各样: "升级会带来麻烦" “升级和没升没有区别” “新版本不稳定” ......

其实我觉得,当一个黑客是很简单的,每天只要订阅各种开源软件的 security release,然后研究明白如何利用这个漏洞的就行了。

因为即使是公开的漏洞也有那么多人不知道去升级的。有的时候觉得从来没升级也没被攻击,其实,只是人家懒得搞你。

还有的人意识到某个 security release 的重要性了,想去升级,可是由于没有持续升级的习惯,代码很难一下子升上去了..........

好吧, 哥也来抖一抖, 以目前apache等服务器的公开漏洞, 可以进入起码一半网站。 以目前DDOS漏洞, 可以打死国内一大半服务器。包括很多大公司。 更不要说一些稀奇古怪未公开的漏洞。 所以, 大家原谅这些网站吧, 大部分公司只有程序员, 没有安全实人员。什么XSS也就挂个马。

via:http://weibo.com/1415968754/xE0RP3o7t

最后感慨一下,当黑客真容易...还有就是 Ruby 修复的还蛮快的 XD

@hooopo 赞一个!

说的很有道理! 可惜 程序员都很懒!

为什么系统不能自动升级哪? 维护升级很烦地呀! 为何不? 开发一个系统自动升级的系统, 恩....这是一个好猪意!............

匿名 #3 2011年12月31日

@hooopo 非常赞!

匿名 #4 2011年12月31日

@hooopo 我觉得这不该属于“瞎扯淡”话题,大家本该都重视。前段时间在微薄曾流传傻瓜式攻击 Apache 脚本就是基于 CVE 漏洞的公开,而这个 CVE 影响甚广,想不升级保命基本不可能。

#4 楼 @JohnsonWang 都在等 REE 的 patch 吧 目前 1.9.2+ 都没有影响

不升级就是拒绝进步

需要 登录 后方可回复, 如果你还没有账号请 注册新账号