OpenRay手記:安全漏洞不應公開

近日被發現的電腦安全漏洞Shellshock,雖然只影響Unix和Linux電腦(視窗電腦或大部分Mac機不受影響);但由於互聯網上逾半的伺服器都是使用Unix或Linux,因此問題嚴重,其嚴重性並不比任何超級電腦病毒為低。

Shellshock漏洞在上月12日被法國Linux愛好者Stephane Chazelas所發現,消息先被Linux組織封鎖,希望在修補程式完成後才公開。直至上月24日,有關方面完成了修補程式,可供用戶下載更新時,才把這個Bash漏洞公開,並為該漏洞取名為Shellshock。

然而,有關方面似乎高估了用戶下載更新的速度。漏洞一公開,雖然修補程式已經面世,但很多用戶都未及下載來修補自己的電腦,黑客們已經利用該漏洞來大規模入侵電腦了。

事實上,很多Linux系統都使用手動更新的方式來更新軟件。由於不是自動更新,而用戶又未必知道Shellshock問題的嚴重性,於是很多用戶在修補程式發放的當日,仍未有及時更系統,讓黑客們有機可乘。

更有趣的是,修補程式推出後,有專家發現程式未能完全解決問題。於是隔了數天,各Linux供應商又推出新的修補程式。部分用戶沒有再更新,以為自己安全,於是又被黑客入侵了。

有關方面其實只應發放修補程式,並強調用戶必須更新,以解決嚴重安全問題。待大部分用戶都更新了,才公開漏洞的技術細節。太早公開漏洞問題,用戶未及更新,黑客們已經利用漏洞大舉入侵電腦了。因此安全漏洞的技術細節,實不應太早公開。

電郵:ray@openrice.com

鍾偉民(Ray)‧飲食網站創辦人