Data Domain:デフォルトのSNMPコミュニティ名は、セキュリティ スキャナーによってフラグが設定されます(CVE-1999-0517)
Summary: DDOSには、ステータスをレポートするためのSNMPエージェントと、管理サーバーへのアラートが含まれています。DD SNMPエージェントの構成によっては、セキュリティ スキャナーがDDを「CVE-1999-0517」に対して脆弱としてマークする場合があります。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
この問題は、通常のコミュニティ名(SNMP v2の唯一の認証方法であり、ネットワーク経由で平文で入力)を設定した場合に発生します。たとえば、「public」と「private」は、通常、SNMPエージェントに対して読み取り専用および読み取り/書き込みアクセス用に設定されます。
コミュニティ名をSNMPマネージャーが送信するパスワードと見なすことができます。これにより、Data DomainはそのIDを確認し、要求されたクエリーで返信することができます。これらの名前が一般的に使用され、簡単に予測されている場合、侵入者はそれらの名前を推測して、ネットワーク デバイスの詳細を取得しようとします。
コミュニティ名をSNMPマネージャーが送信するパスワードと見なすことができます。これにより、Data DomainはそのIDを確認し、要求されたクエリーで返信することができます。これらの名前が一般的に使用され、簡単に予測されている場合、侵入者はそれらの名前を推測して、ネットワーク デバイスの詳細を取得しようとします。
セキュリティ スキャナーは、SNMPが有効になっているDDが「CVE-1999-0517」の対象であると報告しています。これは潜在的なセキュリティの問題です。
CVE-1999-0517: SNMPコミュニティ名は、デフォルト(パブリックなど)、null、または欠落しています。
CVE-1999-0517: SNMPコミュニティ名は、デフォルト(パブリックなど)、null、または欠落しています。
Cause
デフォルトでは、SNMPはData Domainシステムでは無効になっており、コミュニティは構成されていません。SNMPは、コミュニティ文字列名(「public」、「private」など)、その他の脆弱でない既知のコミュニティ名など、SNMPを構成および有効化できます。
DD SNMP構成が無効になっている場合でも、セキュリティ スキャナーは問題を報告しません。DD CLIから次のコマンドを実行して、SNMPエージェントのステータスを確認します。
# snmp status SNMP is enabled.
SNMPを有効にする場合、ユーザーはSNMP v2またはSNMP v3を使用するかどうかを決定する必要があります。以前のケースでは、どのコミュニティ文字列を使用するかを決定する必要があります。
SNMPコミュニティ文字列名に「public」と「private」を使用すると、スキャナーは既知の通常の文字列を試行し、DDから応答を返すことに成功すると、アラートが発行されます。これは、DDのセキュリティ上の問題ではなく、管理者が修正する必要がある構成の問題です。
Resolution
解決策は、管理者が他の(推測が難しい)コミュニティ文字列名を選択するか、認証のためのより強力な手段を持つSNMP v3を切り替えるかのいずれかで構成されます。(SNMP v3管理の詳細については、下部にある他のLightningナレッジベース記事を参照してください)
SNMPの管理に関するData Domain
- 「public」/「private」ではなく、別の文字列を指定できます。
- または、SNMP v3を使用して、この問題を完全に解消することもできます。
- 構成済みのコミュニティ名を取得するには、次のCLIコマンドを実行します。
# snmp show config
- 「public」および/または「private」コミュニティ文字列名を使用する現在の構成を書き留めます。
Example:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- この問題を解決するには、構成から「public」/「private」ro_communityまたはrw_community文字列を使用するすべてのトラップ ホストが存在する場合は削除します。
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- 次に、構成から「public」/「private」ro_communityまたはrw_community文字列を削除します。
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- 次のCLIコマンドを使用してSNMP v2コミュニティ文字列を再度追加しますが、別のコミュニティ文字列名と、元の構成にあったホストを使用します。
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- 以前に「public」/「private」を使用してトラップ ホストを構成していた場合は、新しいコミュニティ文字列名を使用して再度追加します。
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- SNMP管理システムまたはバックアップ ソフトウェアがコミュニティ文字列名を使用してData Domainの詳細をポーリングしている場合は、これらの管理システムの構成を変更して新しい文字列を使用する必要があります。
SNMPの管理に関するData Domain
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.