Data Domain : Les noms de communauté SNMP par défaut sont signalés par les scanners de sécurité (CVE-1999-0517)
Summary: DDOS inclut un agent SNMP pour signaler l’état et les alertes à un serveur de gestion. En fonction de la configuration de l’agent DD SNMP, un scanner de sécurité peut marquer le DD comme vulnérable à « CVE-1999-0517 ». ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Le problème se produit lorsque nous définissons un nom de communauté habituel (qui est la seule méthode d’authentification dans SNMP v2 et qui passe en texte clair via le réseau), par exemple, « public » et « privé », qui sont généralement définis pour l’accès en lecture seule et en lecture/écriture, respectivement, à l’agent SNMP.
Nous pouvons considérer les noms de communauté comme le mot de passe que le gestionnaire SNMP envoie afin que data domain puisse confirmer son identité et répondre aux requêtes demandées. Si ces noms sont couramment utilisés et facilement prévisibles, tout intrus peut les deviner et essayer d’obtenir des détails sur les périphériques réseau.
Nous pouvons considérer les noms de communauté comme le mot de passe que le gestionnaire SNMP envoie afin que data domain puisse confirmer son identité et répondre aux requêtes demandées. Si ces noms sont couramment utilisés et facilement prévisibles, tout intrus peut les deviner et essayer d’obtenir des détails sur les périphériques réseau.
Les scanners de sécurité signalent que le DD avec SNMP activé est soumis à « CVE-1999-0517 », ce qui constitue un problème de sécurité potentiel :
CVE-1999-0517 : Le nom de communauté SNMP est la valeur par défaut (public, par exemple), null ou manquant.
CVE-1999-0517 : Le nom de communauté SNMP est la valeur par défaut (public, par exemple), null ou manquant.
Cause
Par défaut, SNMP est désactivé sur les systèmes Data Domain et aucune communauté n’est configurée. Vous pouvez configurer et activer SNMP, y compris le nom de la chaîne de communauté, par exemple « public », « privé » ou d’autres noms de communauté connus moins vulnérables spécifiques.
Quelle que soit la configuration SNMP DD, si elle est désactivée, le scanner de sécurité ne signale aucun problème. Exécutez la commande suivante à partir de la CLI DD pour connaître l’état de l’agent SNMP :
# snmp status SNMP is enabled.
Lors de l’activation de SNMP, l’utilisateur doit décider s’il doit utiliser SNMP v2 ou SNMP v3 et, dans le premier cas, quelles chaînes de communauté utiliser.
Lorsque vous utilisez « public » et « privé » pour le nom de chaîne de communauté SNMP, le scanner tente des chaînes habituelles bien connues et, si vous parvenez à obtenir une réponse du DD, il déclenche l’alerte. Il ne s’agit pas d’un problème de sécurité avec DD, mais d’un problème de configuration que l’administrateur doit corriger.
Resolution
La résolution consiste à choisir d’autres noms de chaînes de communauté (difficiles à deviner) ou à basculer sur le protocole SNMP v3 qui offre des moyens plus solides pour l’authentification. (Reportez-vous au bas de la page pour obtenir des références à d’autres articles de la base de connaissances Lightning qui donnent plus de détails sur la gestion SNMP v3)
Gestion SNMP de Data Domain
- Au lieu de « public » / « privé », vous pouvez spécifier une autre chaîne.
- Vous pouvez également utiliser SNMP v3 pour éliminer entièrement ce problème.
- Pour obtenir le nom de communauté configuré, exécutez les commandes CLI suivantes :
# snmp show config
- Notez la configuration actuelle qui utilise les noms de chaîne de communauté « public » et/ou « privé ».
Exemple :
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- Vous pouvez résoudre ce problème en supprimant de la configuration tous les hôtes de trap qui utilisent des ro_community « publics » / « privés » ou rw_community chaîne de la configuration s’ils existent :
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Supprimez ensuite la chaîne « publique » / « privée » ro_community ou rw_community de la configuration :
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- Nous utilisons les commandes CLI suivantes pour ajouter à nouveau la chaîne de communauté SNMP v2, mais nous utilisons un nom de chaîne de communauté différent et tous les hôtes qui se trouvaient dans la configuration d’origine.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Si vous aviez précédemment des hôtes trap configurés à l’aide de « public » / « privé », ajoutez-les à nouveau à l’aide du nouveau nom de chaîne de communauté.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Si nous disposons de systèmes de gestion SNMP ou d’un logiciel de sauvegarde qui interrogationnt les détails de Data Domain à l’aide de ce nom de chaîne de communauté, nous devons modifier la configuration sur ces systèmes de gestion et utiliser les nouvelles chaînes.
Gestion SNMP de Data Domain
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.