Mensajes

Alex, el foro sigue siendo vulnerable

Código (bash) [Seleccionar] Expandir

linux-ke9y:/home/carloswaldo/gocode/bin # ./Heartbleed foro.elhacker.net:443
2014/04/08 10:36:49 ([]uint8) {
00000000  02 00 79 68 65 61 72 74  62 6c 65 65 64 2e 66 69  |..yheartbleed.fi|
00000010  6c 69 70 70 6f 2e 69 6f  59 45 4c 4c 4f 57 20 53  |lippo.ioYELLOW S|
00000020  55 42 4d 41 52 49 4e 45  7c 9d df 1e ce 1d 3d d3  |UBMARINE|.....=.|
00000030  18 bf 3a 99 28 33 bb 7c  b5 d7 b1 a5 03 03 03 03  |..:.(3.|........|
00000040  c2 a9 a0 cf f8 60 a2 93  6c f8 15 c4 f0 c9 53 7a  |.....`..l.....Sz|
00000050  79 64 48 45 e9 32 ec 9a  96 48 a8 23 b9 33 b3 01  |ydHE.2...H.#.3..|
00000060  12 f9 42 35 98 7f 8a 70  ab f0 d2 6a ed 18 f9 38  |..B5...p...j...8|
00000070  66 9c 71 7c cd 22 6b 30  5a 1b db 42 18 fa a5 a6  |f.q|."k0Z..B....|
00000080  36 74 7d 35 0a 44 38 61  58 06 2e e1              |6t}5.D8aX...|
}

2014/04/08 10:36:49 foro.elhacker.net:443 - VULNERABLE

El problema es que aun no han salido las actualizaciones necesarias para algunas distros, la rama openssl 1.0.1e es vulnerable, tienes que instalar >= 1.0.1g o 1.0.2 (en beta)

What versions of the OpenSSL are affected?

Status of different versions:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop communications, steal data directly from the services and users and to impersonate services and users.

El bug Heartbleed es una seria vulnerabilidad en la popular librería de cifrado OpenSSL. Esta vulnerabilidad permite robar la información protegida, bajo condiciones normales, por el cifrado SSL/TLS usado para seguridad en Internet. SSL/TLS provee seguridad en las comunicaciones y privacidad en el Internet para aplicaciones como web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales (VPNs).

El bug Heartbleed le permite a cualquiera en el Internet leer la memoria de los sistemas protegidos por las versiones vulnerables de OpenSSL. Esto compromete las llaves secretas usadas para identificar a los proveedores de servicios y cifrar el tráfico, los nombres y contraseñas de los usuarios y hasta el contenido. Esto le permite a los atacantes espiar comunicaciones, robar datos directamente de los servicios y usuarios, y suplantar la identidad de los servicios y usuarios.

http://heartbleed.com/

¿Cuál es el error que te aparece?

No olvides especificar la tabla cada vez que nombres un campo si los estás tomando de diferentes tablas.

¿Instalaste también el PgAdminIII?

En ese caso puedes hacer clic derecho en la base de datos (hay una lista de bases de datos a la izquierda en la pantalla principal) y darle en "Backup"

También puedes ir de la forma tradicional y usar pg_dump, en mi caso está ubicado en "C:\Program Files\PostgreSQL\9.3\bin>", si no sabes como usarlo pues está pg_dump --help

Además te recomendaría no usar .txt como extensión sino .sql, es más descriptivo.

¿Por qué la fecha está en un varchar y no en un campo de fecha?

Código [Seleccionar] Expandir

SELECT * FROM agenda WHERE DATE_SUB( CURDATE( ) , INTERVAL 1 DAY ) <= STR_TO_DATE( AH_Fecha,  '%d/%m/%Y' )

¿Qué es exactamente lo que quieres hacer? La consulta hace lo que le dices, si CURDATE() es 31/03/2014, le restas un rango de 1 día y tienes 30/03/2014, y le estás diciendo que esta fecha tiene que ser menor o igual a la que tomas del campo: 30/03/2014 <= 1/04/2014 da TRUE

Suponga que el campo fecha_pedido sea de tipo char(10).

¿Por qué pondrías una fecha en un campo char? ¿Para qué están luego los campos de fecha?

si la fecha es algo como:  2000-04-01  como ponerle que la fecha tiene que ser en el mes de abril??

Si ese es el formato que lleva la fecha podría hacer algo como LIKE '2000-04-__' o LIKE '____-04-__' (Insisto en que esto se debería hacer en un campo fecha)

apellido LIKE 'H%' AND apellido LIKE '%A'

Podrías ponerlo como LIKE 'H%A' ¿No?

y viva en un estado cuyo nombre lo formen 7 letras.

LIKE '_______'

Lectura recomendada: https://dev.mysql.com/doc/refman/5.0/es/string-comparison-functions.html (asumiendo que estás trabajando con MySQL)

Hola

No hay un "segundo root@localhost" ni un "segundo root@iron", si te fijas bien son usuarios sin nombres de usuario, es decir, usuarios anónimos.

Some accounts are for anonymous users. These have an empty user name. The anonymous accounts have no password, so anyone can use them to connect to the MySQL server.

https://dev.mysql.com/doc/refman/5.1/en/default-privileges.html

En cuanto a si es seguro o inseguro eso dependerá de los permisos que tengan estos usuarios, también puedes ponerle una contraseña, aunque la verdad yo preferiría eliminarlos (mira el link de arriba para más información sobre estos usuarios y qué hacer con ellos)

Por último el "::1" es lo mismo que "127.0.0.1" pero para IPv6

Si usas Gmail bien podrías usar esta extensión para cifrar correos con GPG para Chrome:

https://chrome.google.com/webstore/detail/mymail-crypt-for-gmail/jcaobjhdnlpmopmjhijplpjhlplfkhba

Que igual te funcionará tanto en Windows como en Linux.

Yo también estoy teniendo problemas, pero me pasa solo con http, así que solo ando con https.