Data Domain: Standard SNMP-fellesskapsnavn flagges av sikkerhetsskannere (CVE-1999-0517)
Summary: DDOS inkluderer en SNMP-agent for rapporteringsstatus og varsler til en administrasjonsserver. Avhengig av DD SNMP-agentkonfigurasjonen kan en sikkerhetsskanner merke DD som sårbar for «CVE-1999-0517». ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Problemet oppstår når vi angir et vanlig fellesskapsnavn (som er den eneste godkjenningsmetoden i SNMP v2, og som går i ren tekst gjennom nettverket), for eksempel «offentlig» og «privat», som vanligvis er angitt for henholdsvis skrivebeskyttet og skrivebeskyttet tilgang til SNMP-agenten.
Vi kan vurdere gruppenavnene som passordet som SNMP-administratoren sender, slik at Data Domain kan bekrefte identiteten sin og svare tilbake med de forespurte spørringene. Hvis disse navnene ofte brukes og enkelt forutses, kan enhver inntrengingsbryter gjette dem og prøve å få informasjon om nettverksenhetene.
Vi kan vurdere gruppenavnene som passordet som SNMP-administratoren sender, slik at Data Domain kan bekrefte identiteten sin og svare tilbake med de forespurte spørringene. Hvis disse navnene ofte brukes og enkelt forutses, kan enhver inntrengingsbryter gjette dem og prøve å få informasjon om nettverksenhetene.
Sikkerhetsskannere rapporterer at DD med SNMP aktivert er underlagt «CVE-1999-0517», noe som ville være et potensielt sikkerhetsproblem:
CVE-1999-0517: SNMP-fellesskapets navn er standardnavnet (for eksempel offentlig), null eller mangler.
CVE-1999-0517: SNMP-fellesskapets navn er standardnavnet (for eksempel offentlig), null eller mangler.
Cause
Som standard er SNMP deaktivert på Data Domain-systemene, og ingen fellesskap er konfigurert. Du kan konfigurere og aktivere SNMP, inkludert navnet på fellesskapsstrengen, for eksempel «offentlig», «privat» eller noen andre spesifikke, mindre sårbare kjente gruppenavn.
Uansett DD SNMP-konfigurasjon, hvis den er deaktivert, rapporterer sikkerhetsskanneren overhodet ikke noe problem. Kjør følgende kommando fra DD CLI for å kjenne til SNMP-agentstatusen:
# snmp status SNMP is enabled.
Når du aktiverer SNMP, må brukeren bestemme om han skal bruke SNMP v2 eller SNMP v3 og i det tidligere tilfellet hvilke fellesskapsstrenger som skal brukes.
Når du bruker «offentlig» og «privat» for navnet på SNMP-fellesskapsstrengen, vil skanneren prøve velkjente vanlige strenger. Hvis det lykkes med å få et svar tilbake fra DD, vil det heve varselet. Dette er ikke et sikkerhetsproblem med DD, men et konfigurasjonsproblem som administratoren må løse.
Resolution
Løsningen består av at administratoren enten velger andre (vanskelig å gjette) navn på fellesskapsstrenger, eller bytter over SNMP v3 som har sterkere metoder for godkjenning. (Se nederst for referanser til andre Lightning-kunnskapsbaserte artikler som gir mer informasjon om SNMP v3-administrasjon)
Administrere SNMP for Data Domain
- I stedet for «offentlig» /«privat» kan du angi en annen streng.
- Du kan også bruke SNMP v3 for å eliminere dette problemet helt.
- Hvis du vil ha det konfigurerte fellesskapsnavnet, kjører du følgende CLI-kommandoer:
# snmp show config
- Noter deg den gjeldende konfigurasjonen som bruker navn på «offentlig» og/eller «privat» fellesskapsstreng.
Eksempel:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- Du kan løse dette problemet ved å fjerne eventuelle felleverter som bruker «offentlig» / «privat» ro_community eller rw_community streng fra konfigurasjonen hvis de finnes:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Fjern deretter den «offentlige» / «private» ro_community- eller rw_community strengen fra konfigurasjonen:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- Vi bruker følgende CLI-kommandoer for å legge til SNMP v2-fellesskapsstrengen, men bruker et annet navn på fellesskapsstrengen og eventuelle verter som var i den opprinnelige konfigurasjonen.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Hvis du tidligere hadde konfigurert felleverter ved hjelp av "public" / "private", legger du dem tilbake ved hjelp av det nye navnet på fellesskapsstrengen.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Hvis vi har SNMP-administrasjonssystemer eller sikkerhetskopieringsprogramvare som avspørrer datadomenedeinformasjonen ved hjelp av navnet på fellesskapsstrengen, må vi også endre konfigurasjonen på disse administrasjonssystemene for å bruke de nye strengene
Administrere SNMP for Data Domain
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.