Data Domain:安全性掃描器會標記預設 SNMP 社群名稱 (CVE-1999-0517)
Summary: DDOS 包含用於報告狀態的 SNMP 代理程式,以及給管理伺服器的警示。根據 DD SNMP 代理程式組態而定,安全性掃描器可能會將 DD 標示為容易受到「CVE-1999-0517」的影響。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
當我們設定一般社群名稱 (這是 SNMP v2 中唯一的驗證方法,並且透過網路以純文本呈現) 時,即會發生此問題,例如,通常設定為只讀和讀取/寫入存取 SNMP 代理程式的「公開」和「私人」。
我們可以將社群名稱視為SNMP 管理員傳送的密碼,以便Data Domain確認其身分,並以要求的查詢回復。如果這些名稱常用且容易預測,任何入侵者都可以猜測,並嘗試取得有關網路裝置的詳細數據。
我們可以將社群名稱視為SNMP 管理員傳送的密碼,以便Data Domain確認其身分,並以要求的查詢回復。如果這些名稱常用且容易預測,任何入侵者都可以猜測,並嘗試取得有關網路裝置的詳細數據。
安全性掃描儀報告啟用SNMP的 DD 會受到「CVE-1999-0517」,這會是一個潛在的安全性問題:
CVE-1999-0517:SNMP 社群名稱為預設 (例如公有)、null 或遺失。
CVE-1999-0517:SNMP 社群名稱為預設 (例如公有)、null 或遺失。
Cause
根據預設,Data Domain 系統上的 SNMP 已停用,且沒有設定社群。您可以設定和啟用SNMP,包括社群字串名稱 (例如「public」、「私人」或其他一些特定的較不易受攻擊的社群名稱)。
無論 DD SNMP 組態為何,如果停用,安全性掃描器便不會報告任何問題。從 DD CLI 執行下列命令,以瞭解 SNMP 代理程式狀態:
# snmp status SNMP is enabled.
啟用SNMP時,用戶必須決定是否使用SNMP v2或SNMP v3,以及在前一個案例中要使用的社群字串。
使用SNMP社群字串名稱的「公開」和「私人」時,掃描器會嘗試已知的常用字串,如果成功從 DD 回復回應,則會發出警示。這不是 DD 的安全性問題,而是系統管理員必須修正的組態問題。
Resolution
解決方案包含系統管理員選擇其他 (難以猜測) 社群字串名稱,或切換至具有更強大驗證方式的SNMP v3。(請參閱底部,以參考其他提供 SNMP v3 管理詳細數據的其他閃電知識文章)
Data Domain 管理 SNMP
- 您可以指定不同的字串,而非「公開」/「私人」。
- 您也可以使用 SNMP v3 完全消除此問題。
- 若要取得設定的社群名稱,請執行下列 CLI 命令:
# snmp show config
- 請記下目前使用「公開」和/或「私人」社群字串名稱的組態。
範例:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- 您可以移除任何使用「公開」/「私人」ro_community或從組態rw_community字串的設陷主機,以解決此問題:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- 接著,從組態中移除「公開」/「私人」ro_community或rw_community字串:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- 我們使用下列 CLI 命令來新增 SNMP v2 社群字串串,但使用不同的社群字串名稱和任何原始組態中的主機。
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- 如果您先前使用「public」/「私人」設定設陷主機,請使用新的社群字串名稱將其新增回。
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- 如果我們有SNMP管理系統或使用社群字串名稱輪詢 Data domain 詳細數據的備份軟體,則我們必須變更這些管理系統的組態,並使用新的字串
Data Domain 管理 SNMP
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.