Data Domain: I nomi predefiniti delle community SNMP sono contrassegnati dagli scanner di sicurezza (CVE-1999-0517)
Summary: DDOS include un agente SNMP per il reporting dello stato e degli avvisi a un management server. A seconda della configurazione dell'agente DD SNMP, uno scanner di sicurezza potrebbe contrassegnare il DD come vulnerabile a "CVE-1999-0517". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Il problema si verifica quando si imposta un normale nome della community (che è l'unico metodo di autenticazione in SNMP v2 e che va in testo semplice attraverso la rete), ad esempio, "public" e "private", che in genere sono impostati per l'accesso in sola lettura e lettura/scrittura, rispettivamente, all'agent SNMP.
È possibile considerare i nomi della community come la password che il responsabile SNMP sta inviando in modo che Data Domain possa confermare la propria identità e rispondere con le query richieste. Se questi nomi sono comunemente utilizzati e facilmente previsti, qualsiasi intrusione può intuirli e cercare di ottenere dettagli sui dispositivi di rete.
È possibile considerare i nomi della community come la password che il responsabile SNMP sta inviando in modo che Data Domain possa confermare la propria identità e rispondere con le query richieste. Se questi nomi sono comunemente utilizzati e facilmente previsti, qualsiasi intrusione può intuirli e cercare di ottenere dettagli sui dispositivi di rete.
Gli scanner di sicurezza segnalano che il DD con SNMP abilitato è soggetto a "CVE-1999-0517", che sarebbe un potenziale problema di sicurezza:
CVE-1999-0517: Il nome della community SNMP è il valore predefinito (ad esempio pubblico), null o mancante.
CVE-1999-0517: Il nome della community SNMP è il valore predefinito (ad esempio pubblico), null o mancante.
Cause
Per impostazione predefinita, SNMP è disabilitato sui sistemi Data Domain e nessuna community configurata. È possibile configurare e abilitare SNMP, incluso il nome della stringa della community, ad esempio "public", "private" o alcuni altri nomi di community noti meno vulnerabili e specifici.
Indipendentemente dalla configurazione di DD SNMP, se è disabilitato, lo scanner di sicurezza non segnala alcun problema. Eseguire il seguente comando dalla CLI DD per conoscere lo stato dell'agent SNMP:
# snmp status SNMP is enabled.
Quando si abilita SNMP, l'utente deve decidere se utilizzare SNMP v2 o SNMP v3 e, nel primo caso, quali stringhe di community utilizzare.
Quando si utilizzano "public" e "private" per il nome della stringa della community SNMP, lo scanner proverà stringhe ben note e, se si riesce a ottenere una risposta dal DD, genera l'avviso. Non si tratta di un problema di sicurezza con DD, ma di un problema di configurazione che l'amministratore deve risolvere.
Resolution
La risoluzione consiste nel fatto che l'amministratore sceglie altri nomi di stringhe della community (difficili da intuire) o esegue lo switch su SNMP v3, che ha strumenti più potenti per l'autenticazione. (vedere nella parte inferiore per i riferimenti ad altri articoli basati sulla Knowledge Base di Lightning che forniscono ulteriori dettagli sulla gestione di SNMP v3)
Data Domain: gestione di SNMP
- Invece di "public" /"private", è possibile specificare una stringa diversa.
- In alternativa, è possibile utilizzare SNMP v3 per eliminare completamente questo problema.
- Per ottenere il nome della community configurato, eseguire i seguenti comandi CLI:
# snmp show config
- Prendere nota della configurazione corrente che utilizza nomi di stringhe di community "pubblici" e/o "privati".
Esempio:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- È possibile risolvere il problema rimuovendo tutti gli host trap che utilizzano "public" /"private" ro_community o rw_community stringa dalla configurazione, se esistenti:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Quindi rimuovere il ro_community "public" / "private" o rw_community stringa dalla configurazione:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- Utilizziamo i seguenti comandi CLI per aggiungere nuovamente la stringa della community SNMP v2, ma utilizziamo un nome di stringa della community diverso e gli host presenti nella configurazione originale.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Se in precedenza gli host trap erano configurati utilizzando "public" /"private", aggiungerli nuovamente utilizzando il nuovo nome della stringa della community.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Se i sistemi di gestione SNMP o il software di backup eseguiamo il polling dei dettagli di Data Domain utilizzando il nome della stringa della community, è necessario modificare la configurazione su tali sistemi di gestione e utilizzare le nuove stringhe
Data Domain: gestione di SNMP
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.