Data Domain: Standard-SNMP-gruppnamn flaggas av säkerhetsskannrar (CVE-1999-0517)
Summary: DDOS innehåller en SNMP-agent för rapporteringsstatus och varningar till en hanteringsserver. Beroende på konfigurationen av DD SNMP-agenten kan en säkerhetsgenomsökning markera DD som sårbar för "CVE-1999-0517". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Problemet uppstår när vi ställer in ett vanligt gruppnamn (vilket är den enda autentiseringsmetoden i SNMP v2, och som går via nätverket), till exempel "offentlig" och "privat", som vanligtvis är inställda för skrivskyddad och läs-/skrivåtkomst till SNMP-agenten.
Vi kan se gruppnamnen som det lösenord som SNMP-hanteraren skickar så att Data Domain kan bekräfta sin identitet och svara tillbaka med de begärda frågorna. Om dessa namn används ofta och är lätta att förutse kan alla intrång ana dem och försöka få information om nätverksenheterna.
Vi kan se gruppnamnen som det lösenord som SNMP-hanteraren skickar så att Data Domain kan bekräfta sin identitet och svara tillbaka med de begärda frågorna. Om dessa namn används ofta och är lätta att förutse kan alla intrång ana dem och försöka få information om nätverksenheterna.
Säkerhetsgenomsökningar rapporterar att DD med SNMP aktiverat är föremål för "CVE-1999-0517", vilket skulle vara ett potentiellt säkerhetsproblem:
CVE-1999-0517: SNMP-gruppnamnet är standardnamnet (t.ex. public), null eller saknas.
CVE-1999-0517: SNMP-gruppnamnet är standardnamnet (t.ex. public), null eller saknas.
Cause
Som standard är SNMP avaktiverat på Data Domain-system och ingen grupp konfigurerad. Du kan konfigurera och aktivera SNMP, inklusive gruppsträngnamnet, till exempel "offentligt", "privat" eller några andra specifika mindre sårbara kända gruppnamn.
Oavsett DD SNMP-konfiguration rapporterar säkerhetsgenomsökningen inget problem alls om den är avaktiverad. Kör följande kommando från DD CLI för att veta SNMP-agentstatus:
# snmp status SNMP is enabled.
När du aktiverar SNMP måste användaren bestämma om den ska använda SNMP v2 eller SNMP v3 och i det tidigare fallet vilka gruppsträngar som ska användas.
När du använder "public" och "private" för SNMP-gruppsträngnamnet försöker skannern använda välkända vanliga strängar, och om det lyckas få tillbaka ett svar från DD visas varningen. Det här är inte ett säkerhetsproblem med DD, utan ett konfigurationsproblem som administratören måste korrigera.
Resolution
Lösningen består av att administratören antingen väljer andra (svårgranska) gruppsträngnamn eller växlar över SNMP v3, vilket har starkare metoder för autentisering. (Längst ned finns referenser till andra Lightning-kunskapsbaserade artiklar med mer information om SNMP v3-hantering)
Data Domain-hantering av SNMP
- I stället för "offentlig"/"privat" kan du ange en annan sträng.
- Du kan även använda SNMP v3 för att eliminera problemet helt.
- Kör följande CLI-kommandon för att hämta det konfigurerade gruppnamnet:
# snmp show config
- Notera den aktuella konfigurationen som använder "offentliga" och/eller "privata" gruppsträngnamn.
Exempel:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- Du kan lösa problemet genom att ta bort alla trap-värdar som använder "offentlig"/"privat" ro_community eller rw_community sträng från konfigurationen om de finns:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Ta sedan bort strängen "public" /"private" ro_community eller rw_community från konfigurationen:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- Vi använder följande CLI-kommandon för att lägga till SNMP v2-gruppsträngen igen, men använder ett annat gruppsträngnamn och eventuella värdar som var i den ursprungliga konfigurationen.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Om du tidigare hade trap-värdar konfigurerade med "offentlig"/"privat" lägger du till dem igen med det nya gruppsträngnamnet.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Om vi har SNMP-hanteringssystem eller säkerhetskopieringsprogram som kontrollerar Data Domain-informationen med det gruppsträngnamnet måste vi ändra konfigurationen på dessa hanteringssystem samt använda de nya strängarna
Data Domain-hantering av SNMP
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.