Data Domain: Standard SNMP-gruppenavne markeres af sikkerhedsscannere (CVE-1999-0517)
Summary: DDOS omfatter en SNMP-agent til rapportering af status og advarsler til en administrationsserver. Afhængigt af konfigurationen af DD SNMP-agenten kan en sikkerhedsscanner markere DD som sårbar over for "CVE-1999-0517". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Problemet opstår, når vi indstiller et sædvanligt gruppenavn (som er den eneste godkendelsesmetode i SNMP v2, og som går i almindelig tekst gennem netværket), f.eks. "offentlig" og "privat", som typisk er indstillet til henholdsvis skrivebeskyttet og læse-/skriveadgang til SNMP-agenten.
Vi kan overveje gruppenavnene som den adgangskode, som SNMP-manageren sender, så Data Domain kan bekræfte dets identitet og svare tilbage med de ønskede forespørgsler. Hvis disse navne ofte bruges og nemt forudsiges, kan enhver ubuden gæst gætte dem og forsøge at få oplysninger om netværksenhederne.
Vi kan overveje gruppenavnene som den adgangskode, som SNMP-manageren sender, så Data Domain kan bekræfte dets identitet og svare tilbage med de ønskede forespørgsler. Hvis disse navne ofte bruges og nemt forudsiges, kan enhver ubuden gæst gætte dem og forsøge at få oplysninger om netværksenhederne.
Sikkerhedsscannere rapporterer, at DD med SNMP aktiveret er underlagt "CVE-1999-0517", som vil være et potentielt sikkerhedsproblem:
CVE-1999-0517: SNMP-gruppenavnet er standard (for eksempel offentlig), null eller mangler.
CVE-1999-0517: SNMP-gruppenavnet er standard (for eksempel offentlig), null eller mangler.
Cause
Som standard er SNMP deaktiveret på Data Domain-systemerne, og der er ikke konfigureret et fællesskab. Du kan konfigurere og aktivere SNMP, herunder gruppens strengnavn, f.eks. "offentlig", "privat" eller andre specifikke mindre sårbare, kendte gruppenavne.
Uanset DD SNMP-konfigurationen rapporterer sikkerhedsscanneren ikke noget problem, hvis den er deaktiveret. Kør følgende kommando fra DD CLI for at kende SNMP-agentstatus:
# snmp status SNMP is enabled.
Når du aktiverer SNMP, skal brugeren beslutte, om der skal bruges SNMP v2 eller SNMP v3, og i det tidligere tilfælde hvilke community-strenge, der skal bruges.
Når du bruger "offentlig" og "privat" til SNMP-gruppens strengnavn, vil scanneren forsøge velkendte sædvanlige strenge, og hvis det lykkes at få et svar fra DD, aktiverer det advarslen. Dette er ikke et sikkerhedsproblem med DD, men et konfigurationsproblem, som administratoren skal løse.
Resolution
Opløsningen består af, at administratoren enten vælger andre (svært at gætte) gruppestrengsnavne, eller skifter over SNMP v3, som har stærkere godkendelsesmetoder. (Se nederst for at få referencer til andre Lightning Knowledge-baserede artikler, der indeholder flere oplysninger om SNMP v3-administration)
Datadomain, administration af SNMP
- I stedet for "offentlig" / "privat" kan du angive en anden streng.
- Du kan også bruge SNMP v3 til at eliminere dette problem helt.
- For at få det konfigurerede gruppenavn skal du køre følgende CLI-kommandoer:
# snmp show config
- Notér den aktuelle konfiguration, der bruger "offentlige" og/eller "private" gruppestrengsnavne.
Eksempel:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- Du kan løse dette problem ved at fjerne eventuelle trapværter, der bruger "public"/"private", ro_community eller rw_community streng fra konfigurationen, hvis de findes:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Fjern derefter strengen "offentlig" / "privat" ro_community eller rw_community strengen fra konfigurationen:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- Vi bruger følgende CLI-kommandoer til at tilføje SNMP v2 community-strengen tilbage, men bruger et andet gruppestrengsnavn og eventuelle værter, der var i den oprindelige konfiguration.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Hvis du tidligere havde trapværter konfigureret ved hjælp af "offentlig" / "privat", skal du tilføje dem igen ved hjælp af det nye gruppestrengsnavn.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Hvis vi har SNMP-administrationssystemer eller sikkerhedskopieringssoftware, der overvåger datadomæneoplysningerne ved hjælp af det pågældende gruppestrengsnavn, er vi nødt til at ændre konfigurationen på disse operativsystemer for også at bruge de nye strenge
Datadomain, administration af SNMP
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.