Data Domain: Os nomes padrão da comunidade SNMP são sinalizados pelos scanners de segurança (CVE-1999-0517)
Summary: O DDOS inclui um agente SNMP para geração de relatórios de status e alertas para um servidor de gerenciamento. Dependendo da configuração do agente do DD SNMP, um scanner de segurança pode marcar o DD como vulnerável a "CVE-1999-0517". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
O problema acontece quando definimos um nome de comunidade comum (que é o único método de autenticação no SNMP v2 e que vai em texto sem formatação por meio da rede), por exemplo, "público" e "privado", que normalmente são definidos para acesso somente leitura e leitura/gravação, respectivamente, ao agente SNMP.
Podemos considerar os nomes de comunidade como a senha que o gerenciador SNMP está enviando para que o Data Domain possa confirmar sua identidade e responder com as consultas solicitadas. Se esses nomes forem comumente usados e facilmente previstos, qualquer invasor poderá adivinhar e tentar obter detalhes sobre os dispositivos de rede.
Podemos considerar os nomes de comunidade como a senha que o gerenciador SNMP está enviando para que o Data Domain possa confirmar sua identidade e responder com as consultas solicitadas. Se esses nomes forem comumente usados e facilmente previstos, qualquer invasor poderá adivinhar e tentar obter detalhes sobre os dispositivos de rede.
Os scanners de segurança relatam que o DD com SNMP ativado está sujeito a "CVE-1999-0517", o que seria um possível problema de segurança:
CVE-1999-0517: O nome da comunidade do SNMP é o padrão (por exemplo, público), nulo ou ausente.
CVE-1999-0517: O nome da comunidade do SNMP é o padrão (por exemplo, público), nulo ou ausente.
Cause
Por padrão, o SNMP é desativado nos sistemas Data Domain e nenhuma comunidade é configurada. Você pode configurar e habilitar o SNMP, inclusive o nome da string de comunidade, por exemplo, "público", "privado" ou algum outro nome de comunidade menos vulnerável específico.
Independentemente da configuração do DD SNMP, se ele estiver desativado, o scanner de segurança não informará nenhum problema. Execute o seguinte comando na CLI do DD para saber o status do agente SNMP:
# snmp status SNMP is enabled.
Ao habilitar o SNMP, o usuário deve decidir se deseja usar o SNMP v2 ou o SNMP v3 e, no caso anterior, quais strings de comunidade usar.
Ao usar "public" e "private" para o nome da string de comunidade SNMP, o scanner tentará strings comuns bem conhecidas e, se conseguir obter uma resposta de volta do DD, ele emitirá o alerta. Esse não é um problema de segurança com o DD, mas um problema de configuração que o administrador precisa corrigir.
Resolution
A resolução consiste em o administrador escolher outros nomes de string de comunidade (difíceis de adivinhar) ou alternar entre o SNMP v3, que tem meios mais fortes para autenticação. (Consulte a parte inferior para obter referências a outros artigos baseados em conhecimento do Lightning que apresentam mais detalhes sobre o gerenciamento do SNMP v3)
Gerenciamento de SNMP do Data Domain
- Em vez de "public" /"private", você pode especificar uma string diferente.
- Como alternativa, você pode usar o SNMP v3 para eliminar totalmente esse problema.
- Para obter o nome da comunidade configurado, execute os seguintes comandos da CLI:
# snmp show config
- Anote a configuração atual que usa nomes de string de comunidade "públicos" e/ou "privados".
Exemplo:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- Você pode resolver esse problema removendo todos os hosts de trap que usam a string "public" /"private" ro_community ou rw_community da configuração, se existirem:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Em seguida, remova a string "pública" /"privada" ro_community ou rw_community da configuração:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- Usamos os seguintes comandos da CLI para adicionar a string de comunidade do SNMP v2 de volta, mas usamos um nome de string de comunidade diferente e todos os hosts que estavam na configuração original.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Se você já tinha hosts de trap configurados usando "public" / "private", adicione-os novamente usando o novo nome de string de comunidade.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Se houver sistemas de gerenciamento SNMP ou software de backup consultando os detalhes do Data Domain usando esse nome de string de comunidade, também teremos que alterar a configuração nesses sistemas de gerenciamento para usar as novas strings
Gerenciamento de SNMP do Data Domain
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.