LiteManager.ru

[admin]

В связи с найденной уязвимостью в программе LiteManager при работе Соединение по ID через общие NOIP, внесены важные изменение в процесс авторизации.

Угроза.
Для тех кто работает через общие NOIP используя Соединение по ID и авторизацию по паролю, существует угроза перехвата пароля к соединению.

Действия
- Обновите программу Вьювер и Сервер до версии 4.8.3, или Выше
- Измените пароль на программу
- Включите PIN код для соединения по ID

Рекомендации
- Дополнительно, можно включить уведомления о подключениях или запрос у пользователя на подключение.
- Или перейти на использование личного NOIP

Кого не коснется проблема
Тех кто использует прямые подключения по IP или свой личный NOIP угроза не коснется.

Наши действия
Внесены изменения в процесс авторизации, добавлено дополнительное шифрование данных.

-------
Защита PIN кодом позволяет предотвратить случайные или злонамеренные подключения к Вам.
PIN хранится и передается только на главном NOIP. Только Вы знаете его. Логичен вопрос зачем PIN если есть пароль, дело в том что исторически программа создавалась для прямых подключений по IP и пароль проверяется только на Сервере LM, что не оптимально для Соединения по ID, PIN код решает эту проблему, его проверка осуществляется на самом главном NOIP, таким образом даже случайно подключится не получится.
При подключении на Viewer необходимо также указать PIN.

PIN_ru.png (86.21 Кб) Просмотров: 39581

-------
Программа обновлена до версии 4.8.3, внесены поправки в процесс авторизации. Возможна потеря авторизации на серверах при работе Соединения по ID через Общие сервера, для совместимости включите использования старого протокола NOIP.
Из соображений безопасности рекомендуем обновить вьюверы и сервера программы LiteManager до версии 4.8.3, для этого достаточно заново скачать 4.8 программу с сайта.

Скачать версию 4.8.3
http://litemanager.com/soft/litemanager_4.8.zip

Для совместимости Соединения по ID с предыдущими версиями, можно включить старый NOIP протокол (уязвимый протокол), так как он не безопасен рекомендуем Вам сразу обновить программу и после изменить Пароль доступа к серверу.

483_secure.png (18.83 Кб) Просмотров: 39987

Для Андроид и других клиентов аналогично.

Screenshot_2017-05-21-12-51-42.png (56.58 Кб) Просмотров: 39397

[dedoks]

В новой версии 4.8.3.1 в настройках соединений в разделе "Основные опции" пропала возможность отключения "Захват звука" – передача звуковых сигналов с удаленного компьютера.
Это было сделано спецом или еще как?
А надо было бы, опция нужна.

[zapodlo]

Вьюверы все так же вручную обновлять?

[admin]

В новой версии 4.8.3.1 в настройках соединений в разделе "Основные опции" пропала возможность отключения "Захват звука" – передача звуковых сигналов с удаленного компьютера.
Это было сделано спецом или еще как?
А надо было бы, опция нужна.

Там такой опции не было, или пришлите пожалуйста скриншоты окон, если я не прав.

Опции захвата звука не изменялись.

[admin]

Вьюверы все так же вручную обновлять?

Да, можно просто файл скачать отдельно
http://litemanager.ru/soft/pro/ROMViewer.zip

[dedoks]

admin
https://yadi.sk/i/otTpqqiA3HhShG
И здесь нет и вообще нигде нет. Не могу отключить звук с удаленных компов.
На предыдущей версии 4.8.2.0 звук с удаленных не слышал. Теперь он мне мешает, а отрубить не могу, ну если только самому им прямо у них там не по отрубать.

P.S.
Все, извиняюсь. Сам лоханулся.
Уже забыл, когда все просматривал и настраивал поначалу.
Функция действительно есть, хотя она доступна только через настройки на панели уже активного (рабочего) соединения.
Я почему-то искал её в настройках свойств. Думал должна быть где-то в предустановках.

[admin]

Программа обновлена до версии 4.8.3.9
Еще больше улучшена защита соединения по ID, плюс добавлен PIN код для работы по ID.

[ante]

Доброго времени суток! Вьювер обновлен до последней версии, сервер пока старый, но поддержка старого протокола включена.. и все равно пишет "Ошибка, перезапустите программу", при попытке подключиться к любому ID.. Что можно сделать?

[admin]

тут дело в другом, возможно сам LM Сервер отключен.
Лучше всего проверить его состояние, какой там статус, перезапустить сервер или обновить его до последней версии.

[tkvs]

и пароль проверяется только на Сервере LM

Вчитываюсь и не понимаю: всё это время на конечных компьютерах с запущенными серверами при аутентификации не проверялось ничего?
Т.е. любой, зная лишь его IP или ID, мог подключиться к конечному компьютеру?
А если под Сервером LM понимается именно конечный компьютер, то как возможен взлом в прошлых версиях?
У вас логины и пароли по сети при аутентификации ходят в открытом виде, и любой NOIP-сервер может их перехватить?