Data Domain: Suojausskannerit merkitsevät oletusarvoiset SNMP-yhteisönimet (CVE-1999-0517)
Summary: DDOS sisältää SNMP-agentin, joka raportoi tilan ja hälytykset hallintapalvelimeen. DD SNMP -agentin kokoonpanosta riippuen suojaustarkistus voi merkitä DD:n haavoittuvuukseksi CVE-1999-0517. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Ongelma ilmenee, kun määritämme tavallisen yhteisön nimen (joka on SNMP v2:n ainoa todennusmenetelmä ja joka tapahtuu vain tekstissä verkon kautta), kuten "julkinen" ja "yksityinen", jotka on tavallisesti määritetty vain luku- ja kirjoituskäyttöä varten SNMP-agentille.
Yhteisön nimet voidaan pitää SNMP-hallinnan lähettämänä salasanana, jotta Data Domain voi vahvistaa tunnisteensa ja vastata takaisin pyydetyillä kyselyillä. Jos nimiä käytetään yleisesti ja ne on helppo ennustaa, kuka tahansa häiritsee niitä ja yrittää saada tietoja verkkolaitteista.
Yhteisön nimet voidaan pitää SNMP-hallinnan lähettämänä salasanana, jotta Data Domain voi vahvistaa tunnisteensa ja vastata takaisin pyydetyillä kyselyillä. Jos nimiä käytetään yleisesti ja ne on helppo ennustaa, kuka tahansa häiritsee niitä ja yrittää saada tietoja verkkolaitteista.
Suojauksen tarkistusohjelmat ilmoittavat, että DD, jossa SNMP on käytössä, on CVE-1999-0517- tai CVE-1999-0517-testin alainen, mikä voi aiheuttaa tietoturvaongelman:
CVE-1999-0517: SNMP-yhteisön nimi on oletusnimi (esimerkiksi julkinen), null tai puuttuu.
CVE-1999-0517: SNMP-yhteisön nimi on oletusnimi (esimerkiksi julkinen), null tai puuttuu.
Cause
SNMP on oletusarvoisesti poissa käytöstä Data Domain -järjestelmissä, eikä yhteisöä ole määritetty. Voit määrittää ja ottaa käyttöön SNMP:n. Voit määrittää ja ottaa käyttöön yhteisömerkkijonon nimen, kuten "public", "private" tai jonkin muun vähemmän haavoittuvan tunnetun yhteisön nimen.
Jos DD SNMP -määritykset eivät ole käytössä, suojauksen tarkistusohjelma ei ilmoita ongelmista. Selvitä SNMP-agentin tila suorittamalla seuraava komento DD-komentoriviliittymässä:
# snmp status SNMP is enabled.
Kun SNMP otetaan käyttöön, käyttäjän on päätettävä, käytetäänkö SNMP v2- vai SNMP v3 -ohjelmistoa ja aiemmin käytettävät yhteisömerkkijonot.
SNMP-yhteisömerkkijonon nimessä "public" ja "private" skanneri yrittää käyttää yleisesti tunnettuja merkkijonoja, ja jos DD:ltä saadaan vastaus, se aiheuttaa hälytyksen. Tämä ei ole DD:n suojausongelma, vaan määritysongelma, joka järjestelmänvalvojan on korjattava.
Resolution
Ratkaisu koostuu siitä, että järjestelmänvalvoja valitsee muita (vaikeasti arvata) yhteisön merkkijononimiä tai vaihtaa SNMP v3 :een, jolla on vahvempi keino todennukseen. (Alareunassa on viittauksia muihin Lightningin tietämysperustaisiin artikkeleihin, joissa on lisätietoja SNMP v3 -hallinnasta)
SNMP:n hallinta Data Domainissa
- Voit määrittää merkkijonon public- tai private-merkkijonon sijasta.
- Voit myös poistaa ongelman kokonaan SNMP v3:lla.
- Hae määritetty yhteisön nimi seuraavilla komentoriviliittymän komennoilla:
# snmp show config
- Huomioi nykyinen määritys, joka käyttää julkisia ja/tai yksityisiä yhteisön merkkijononimiä.
Esimerkki:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- Voit ratkaista ongelman poistamalla määrityksestä kaikki keskeytyspalvelimet, jotka käyttävät public-/private-ro_community tai rw_community merkkijonoa:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Poista sen jälkeen komento "public" / "private" ro_community tai rw_community merkkijono määrityksestä:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- SNMP v2 -yhteisömerkkijono lisätään takaisin seuraavilla komentorivikäyttöliittymän komennoilla, mutta käytämme eri yhteisömerkkijonon nimeä ja isäntäkonetta, jotka olivat alkuperäisessä kokoonpanossa.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Jos aiemmin trap-hosts oli määritetty käyttäen public-/private-komentoja, lisää ne takaisin uudella yhteisön merkkijonon nimellä.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Jos SNMP-hallintajärjestelmät tai -ohjelmistot tarkistavat datatoimialueen tiedot yhteisömerkkijonon nimellä, määritystä on muutettava myös näissä hallintajärjestelmissä, jotta voidaan käyttää uusia merkkijonoja.
SNMP:n hallinta Data Domainissa
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.