Data Domain. Имена сообщества SNMP по умолчанию помечаются сканерами безопасности (CVE-1999-0517)
Summary: DDOS включает в себя агент SNMP для отчетности о состоянии и оповещений на сервер управления. В зависимости от конфигурации агента SNMP DD сканер системы безопасности может пометить DD как уязвимый для CVE-1999-0517. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Эта проблема возникает, когда мы задаем обычное имя сообщества (которое является единственный методом аутентификации в SNMP v2 и переходит в обычный текст по сети), например « общедоступное» и «частное», которое обычно настроено для доступа только для чтения и записи соответственно к агенту SNMP.
Мы можем рассмотреть имена сообществ в качестве пароля, который отправляет SNMP-менеджер, чтобы Data Domain подтвердила свои персональные данные и ответила на запросы. Если эти имена часто используются и легко прогнозироваться, любой злоумышленник может прогнозировать их и пытаться получить сведения о сетевых устройствах.
Мы можем рассмотреть имена сообществ в качестве пароля, который отправляет SNMP-менеджер, чтобы Data Domain подтвердила свои персональные данные и ответила на запросы. Если эти имена часто используются и легко прогнозироваться, любой злоумышленник может прогнозировать их и пытаться получить сведения о сетевых устройствах.
Сканеры безопасности сообщают, что для DD с включенным протоколом SNMP может быть установлена ошибка CVE-1999-0517, которая может быть потенциальной проблемой безопасности:
CVE-1999-0517: Имя сообщества SNMP — это имя сообщества по умолчанию (например, общедоступное), null или отсутствует.
CVE-1999-0517: Имя сообщества SNMP — это имя сообщества по умолчанию (например, общедоступное), null или отсутствует.
Cause
По умолчанию протокол SNMP отключен в системах Data Domain, и сообщество не настроено. Можно настроить и включить протокол SNMP, в том числе имя строки сообщества( например, «public», «private» или некоторые другие менее уязвимые известные имена сообществ.
Независимо от конфигурации DD SNMP, если она отключена, сканер безопасности не сообщает о каких-либо проблемах. Выполните следующую команду из интерфейса командной строки DD, чтобы узнать состояние агента SNMP:
# snmp status SNMP is enabled.
При включении SNMP пользователь должен решить, следует ли использовать SNMP v2 или SNMP v3, а в данном случае — какие строки сообщества использовать.
При использовании «public» и «private» для имени строки сообщества SNMP сканер пытается использовать известные обычные строки, и, если он успешно получает ответ от DD, выводится оповещение. Это не проблема безопасности DD, а проблема конфигурации, которую должен устранить администратор.
Resolution
Решение состоит из того, что администратор выбирает другие (трудно мук) имена строк сообщества или переключает SNMP v3, который имеет более эффективные средства аутентификации. (См. в нижней части ссылки на другие статьи на основе знаний Lightning, в которых приведены дополнительные сведения об управлении SNMP v3)
Управление SNMP с помощью Data Domain
- Вместо «public» или «private» можно указать другую строку.
- Для устранения этой проблемы также можно использовать протокол SNMP v3.
- Чтобы получить настроенное имя сообщества, выполните следующие CLI-команды:
# snmp show config
- Запишите текущую конфигурацию, которая использует «общедоступные» и/или «частные» строки сообщества.
Пример.
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- Эту проблему можно устранить, удалив из конфигурации все хосты ловушек, в которых используется строка «public» / «private» ro_community или rw_community строка, если они существуют:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Затем удалите строку «public» / «private ro_community или rw_community из конфигурации:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- Мы используем следующие команды интерфейса командной строки для добавления строки сообщества SNMP v2, но используем другое имя строки сообщества и все хосты, которые находились в первоначальной конфигурации.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Если ранее хосты ловушек были настроены с использованием «public» / «private», добавьте их обратно, используя новое строковое имя сообщества.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Если у нас есть системы управления SNMP или ПО для резервного копирования, опрашивая сведения о Data Domain с использованием этого имени строки сообщества, необходимо изменить конфигурацию в этих системах управления, а также использовать новые строки
Управление SNMP с помощью Data Domain
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.