Data Domain: Los escáneres de seguridad marcan los nombres predeterminados de comunidad SNMP (CVE-1999-0517)
Summary: DDOS incluye un agente SNMP para informar el estado y las alertas a un servidor de administración. Según la configuración del agente SNMP de DD, un escáner de seguridad puede marcar DD como vulnerable a "CVE-1999-0517". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
El problema sucede cuando configuramos un nombre de comunidad habitual (que es el único método de autenticación en SNMP v2 y que va en texto sin formato a través de la red), por ejemplo, "público" y "privado", que generalmente se configuran para acceso de solo lectura y lectura/escritura, respectivamente, al agente SNMP.
Podemos considerar los nombres de comunidad como la contraseña que envía el administrador de SNMP para que Data Domain pueda confirmar su identidad y responder de nuevo con las consultas solicitadas. Si esos nombres se utilizan comúnmente y se predicen fácilmente, cualquier intruso puede adivinarlos e intentar obtener detalles sobre los dispositivos de red.
Podemos considerar los nombres de comunidad como la contraseña que envía el administrador de SNMP para que Data Domain pueda confirmar su identidad y responder de nuevo con las consultas solicitadas. Si esos nombres se utilizan comúnmente y se predicen fácilmente, cualquier intruso puede adivinarlos e intentar obtener detalles sobre los dispositivos de red.
Los escáneres de seguridad informan que DD con SNMP activado está sujeto a "CVE-1999-0517", lo que podría ser un posible problema de seguridad:
CVE-1999-0517: El nombre de comunidad SNMP es el valor predeterminado (por ejemplo, público), nulo o faltante.
CVE-1999-0517: El nombre de comunidad SNMP es el valor predeterminado (por ejemplo, público), nulo o faltante.
Cause
De manera predeterminada, SNMP está deshabilitado en los sistemas Data Domain y no hay ninguna comunidad configurada. Puede configurar y habilitar SNMP, incluido el nombre de la cadena de comunidad, por ejemplo, "public", "private" o algunos otros nombres de comunidad conocidos menos vulnerables específicos.
Independientemente de la configuración de SNMP de DD, si está deshabilitada, el escáner de seguridad informa que no hay ningún problema de ningún tipo. Ejecute el siguiente comando desde la CLI de DD para conocer el estado del agente SNMP:
# snmp status SNMP is enabled.
Cuando se habilita SNMP, el usuario debe decidir si desea usar SNMP v2 o SNMP v3 y, en el caso anterior, qué cadenas de comunidad utilizar.
Cuando se utiliza "public" y "private" para el nombre de cadena de comunidad SNMP, el escáner intentará utilizar cadenas habituales conocidas y, si obtiene correctamente una respuesta de DD, genera la alerta. Este no es un problema de seguridad con DD, sino un problema de configuración que el administrador debe corregir.
Resolution
La resolución consiste en que el administrador elija otros nombres de cadena de comunidad (difíciles de adivinar) o cambie el SNMP v3 que tiene medios más sólidos para la autenticación. (Consulte en la parte inferior las referencias a otros artículos basados en conocimientos de Lightning que proporcionan más detalles sobre la administración de SNMP v3)
Administración de SNMP de Data Domain
- En lugar de "pública" / "privada", puede especificar una cadena diferente.
- Como alternativa, puede utilizar SNMP v3 para eliminar este problema por completo.
- Para obtener el nombre de comunidad configurado, ejecute los siguientes comandos de la CLI:
# snmp show config
- Tome nota de la configuración actual que utiliza nombres de cadena de comunidad "pública" o "privada".
Ejemplo:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- Puede resolver ese problema mediante la eliminación de cualquier host de trap que utilice la ro_community "pública"/"privada" o rw_community cadena de la configuración si existen:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- A continuación, elimine la cadena de ro_community o rw_community "pública"/"privada" de la configuración:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- Se utilizan los siguientes comandos de la CLI para volver a agregar la cadena de comunidad de SNMP v2, pero se utiliza un nombre de cadena de comunidad diferente y los hosts que estaban en la configuración original.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Si anteriormente tenía trap-hosts configurados con "public" / "private", a continuación, agréguelos con el nuevo nombre de cadena de comunidad.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Si tenemos sistemas de administración de SNMP o software de respaldo que sondean los detalles de Data Domain con ese nombre de cadena de comunidad, también debemos cambiar la configuración en esos sistemas de administración para usar las nuevas cadenas
Administración de SNMP de Data Domain
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.