12 月 28 号,因为一个安全漏洞,Ruby1.8.7-p357 发布 (http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm/ )
似乎大家都在忙着改密码去了,没人关注这个...
这个安全漏洞似乎不只影响 Ruby1.8.7,还影响其他语言: http://www.laruence.com/2011/12/29/2412.html
看到好多人不喜欢升级,只想守着一份可以运行的代码,管他什么版本什么时候 release 呢 不升级的理由各种各样: "升级会带来麻烦" “升级和没升没有区别” “新版本不稳定” ......
其实我觉得,当一个黑客是很简单的,每天只要订阅各种开源软件的 security release,然后研究明白如何利用这个漏洞的就行了。
因为即使是公开的漏洞也有那么多人不知道去升级的。有的时候觉得从来没升级也没被攻击,其实,只是人家懒得搞你。
还有的人意识到某个 security release 的重要性了,想去升级,可是由于没有持续升级的习惯,代码很难一下子升上去了..........
好吧, 哥也来抖一抖, 以目前apache等服务器的公开漏洞, 可以进入起码一半网站。 以目前DDOS漏洞, 可以打死国内一大半服务器。包括很多大公司。 更不要说一些稀奇古怪未公开的漏洞。 所以, 大家原谅这些网站吧, 大部分公司只有程序员, 没有安全实人员。什么XSS也就挂个马。
via:http://weibo.com/1415968754/xE0RP3o7t
最后感慨一下,当黑客真容易...还有就是 Ruby 修复的还蛮快的 XD
说的很有道理! 可惜 程序员都很懒!
为什么系统不能自动升级哪? 维护升级很烦地呀! 为何不? 开发一个系统自动升级的系统, 恩....这是一个好猪意!............
