12 月 28 号，因为一个安全漏洞，Ruby1.8.7-p357 发布 (http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm/ )

似乎大家都在忙着改密码去了，没人关注这个...

这个安全漏洞似乎不只影响 Ruby1.8.7，还影响其他语言： http://www.laruence.com/2011/12/29/2412.html

看到好多人不喜欢升级，只想守着一份可以运行的代码，管他什么版本什么时候 release 呢 不升级的理由各种各样： "升级会带来麻烦" “升级和没升没有区别” “新版本不稳定” ......

其实我觉得，当一个黑客是很简单的，每天只要订阅各种开源软件的 security release，然后研究明白如何利用这个漏洞的就行了。

因为即使是公开的漏洞也有那么多人不知道去升级的。有的时候觉得从来没升级也没被攻击，其实，只是人家懒得搞你。

还有的人意识到某个 security release 的重要性了，想去升级，可是由于没有持续升级的习惯，代码很难一下子升上去了..........

好吧， 哥也来抖一抖， 以目前apache等服务器的公开漏洞， 可以进入起码一半网站。 以目前DDOS漏洞， 可以打死国内一大半服务器。包括很多大公司。 更不要说一些稀奇古怪未公开的漏洞。 所以， 大家原谅这些网站吧， 大部分公司只有程序员， 没有安全实人员。什么XSS也就挂个马。

via:http://weibo.com/1415968754/xE0RP3o7t

最后感慨一下，当黑客真容易...还有就是 Ruby 修复的还蛮快的 XD