Data Domain: Standard-SNMP-Communitynamen werden von Sicherheitsscannern markiert (CVE-1999-0517).
Summary: DDOS umfasst einen SNMP-Agent für das Reporting von Status und Warnmeldungen an einen Managementserver. Je nach DD SNMP-Agent-Konfiguration kann ein Sicherheitsscanner die DD als anfällig für "CVE-1999-0517" markieren. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Das Problem tritt auf, wenn wir einen üblichen Communitynamen festlegen (dies ist die einzige Authentifizierungsmethode in SNMP v2, die in Klartext über das Netzwerk geht), z. B. "public" und "private", die in der Regel für schreibgeschützten bzw. Lese-/Schreibzugriff auf den SNMP-Agent festgelegt sind.
Wir können die Communitynamen als Passwort betrachten, das der SNMP-Manager sendet, sodass data Domain seine Identität bestätigen und mit den angeforderten Abfragen antworten kann. Wenn diese Namen häufig verwendet und leicht vorherzusagen sind, kann jeder Eindringling sie erraten und versuchen, Details zu den Netzwerkgeräten zu erhalten.
Wir können die Communitynamen als Passwort betrachten, das der SNMP-Manager sendet, sodass data Domain seine Identität bestätigen und mit den angeforderten Abfragen antworten kann. Wenn diese Namen häufig verwendet und leicht vorherzusagen sind, kann jeder Eindringling sie erraten und versuchen, Details zu den Netzwerkgeräten zu erhalten.
Sicherheitsscanner berichten, dass DD mit aktivierter SNMP "CVE-1999-0517" unterliegt, was ein potenzielles Sicherheitsproblem wäre:
CVE-1999-0517: Der SNMP-Communityname ist der Standard (z. B. öffentlich), null oder fehlt.
CVE-1999-0517: Der SNMP-Communityname ist der Standard (z. B. öffentlich), null oder fehlt.
Cause
Standardmäßig ist SNMP auf den Data Domain-Systemen deaktiviert und keine Community konfiguriert. Sie können SNMP konfigurieren und aktivieren, einschließlich des Communityzeichenfolgennamens, z. B. "public", "private" oder einiger anderer spezifischer, weniger anfälliger bekannter Communitynamen.
Unabhängig von der DD-SNMP-Konfiguration meldet der Sicherheitsscanner kein Problem, wenn es deaktiviert ist. Führen Sie den folgenden Befehl über die DD-CLI aus, um den SNMP-Agent-Status zu ermitteln:
# snmp status SNMP is enabled.
Bei der Aktivierung von SNMP muss der Benutzer entscheiden, ob SNMP v2 oder SNMP v3 und im ersten Fall welche Communityzeichenfolgen verwendet werden sollen.
Bei Verwendung von "public" und "private" für den Namen der SNMP-Communityzeichenfolge versucht der Scanner bekannte übliche Zeichenfolgen und wenn erfolgreich eine Antwort von der DD abgerufen wird, löst er die Warnmeldung aus. Dies ist kein Sicherheitsproblem bei DD, sondern ein Konfigurationsproblem, das der Administrator korrigieren muss.
Resolution
Die Lösung besteht darin, dass der Administrator entweder andere (schwer zu erratende) Communityzeichenfolgennamen auswählt oder die SNMP v3 umschaltet, die ein stärkeres Mittel für die Authentifizierung bietet. (Unten finden Sie Referenzen zu anderen knowledgebasierten Lightning-Artikeln, die weitere Details zur SNMP v3-Verwaltung enthalten.)
Data Domain– Managen von SNMP
- Anstelle von "public" / "private" können Sie eine andere Zeichenfolge angeben.
- Alternativ können Sie SNMP v3 verwenden, um dieses Problem vollständig zu beheben.
- Um den konfigurierten Communitynamen abzurufen, führen Sie die folgenden CLI-Befehle aus:
# snmp show config
- Notieren Sie sich die aktuelle Konfiguration, die "öffentliche" und/oder "private" Communityzeichenfolgennamen verwendet.
Beispiel:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- Sie können dieses Problem beheben, indem Sie alle Trap-Hosts, die "public" / "private" ro_community oder rw_community-Zeichenfolge verwenden, aus der Konfiguration entfernen, falls vorhanden:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Entfernen Sie dann die zeichenfolge "public" / "private" ro_community oder rw_community aus der Konfiguration:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- Wir verwenden die folgenden CLI-Befehle, um die SNMP v2-Communityzeichenfolge wieder hinzuzufügen, verwenden jedoch einen anderen Communityzeichenfolgenamen und alle Hosts, die sich in der ursprünglichen Konfiguration befanden.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Wenn Zuvor Trap-Hosts mit "public" / "private" konfiguriert wurden, fügen Sie sie mithilfe des neuen Communityzeichenfolgennamens wieder hinzu.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Wenn wir SNMP-Managementsysteme oder Backupsoftware haben, die die Data Domain-Details mit diesem Communityzeichenfolgennamen abfragen, müssen wir die Konfiguration auf diesen Verwaltungssystemen ändern und die neuen Zeichenfolgen verwenden.
Data Domain– Managen von SNMP
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.