Домен даних: Назви спільнот SNMP за замовчуванням позначаються сканерами безпеки (CVE-1999-0517)
Summary: DDOS включає агент SNMP для звітування про стан і оповіщення на сервер управління. Залежно від конфігурації агента DD SNMP сканер безпеки може позначити DD як вразливий до CVE-1999-0517. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Проблема виникає, коли ми встановлюємо звичайне ім'я спільноти (яке є єдиним методом автентифікації в SNMP v2 і передається відкритим текстом через мережу), наприклад, «public» і «private», які зазвичай встановлюються для доступу лише для читання та читання/запису, відповідно, для агента SNMP.
Ми можемо розглядати назви спільноти як пароль, який надсилає менеджер SNMP, щоб домен даних міг підтвердити свою особу та відповісти на запитувані запити. Якщо ці імена широко використовуються і їх легко передбачити, будь-який зловмисник може вгадати їх і спробувати отримати подробиці про мережеві пристрої.
Ми можемо розглядати назви спільноти як пароль, який надсилає менеджер SNMP, щоб домен даних міг підтвердити свою особу та відповісти на запитувані запити. Якщо ці імена широко використовуються і їх легко передбачити, будь-який зловмисник може вгадати їх і спробувати отримати подробиці про мережеві пристрої.
Сканери безпеки повідомляють, що DD з увімкненим SNMP підпадає під дію CVE-1999-0517, що може бути потенційною проблемою безпеки:CVE-1999-0517:
Назва спільноти SNMP є типовою (наприклад, загальнодоступною), нульовою або відсутньою.
Назва спільноти SNMP є типовою (наприклад, загальнодоступною), нульовою або відсутньою.
Cause
За замовчуванням SNMP вимкнено в системах Data Domain, і спільнота не налаштована. Ви можете налаштувати та ввімкнути SNMP, включно з рядком спільноти, наприклад "public", "private" або якимись іншими, менш вразливими відомими назвами спільноти.
Незалежно від конфігурації DD SNMP, якщо вона вимкнена, сканер безпеки не повідомляє про будь-які проблеми. Виконайте наступну команду з DD CLI, щоб дізнатися статус агента SNMP:
# snmp status SNMP is enabled.
Вмикаючи SNMP, користувач повинен вирішити, чи використовувати SNMP v2 або SNMP v3, і в першому випадку, які рядки спільноти використовувати.
При використанні "public" і "private" для назви рядка спільноти SNMP сканер спробує добре відомі звичайні рядки, і якщо йому вдасться отримати відповідь від DD, він здійме попередження. Це не проблема безпеки з DD, а проблема конфігурації, яку адміністратор повинен виправити.
Resolution
Розв'язання полягає в тому, що адміністратор або вибирає інші (важко вгадати) назви рядків спільноти, або перемикається на SNMP v3, який має потужніші засоби для автентифікації. (Див. внизу посилання на інші статті, засновані на знаннях Lightning, які дають більш детальну інформацію про управління SNMP v3)
Управління доменом даних SNMP
- Замість "public" / "private" ви можете вказати інший рядок.
- Крім того, ви можете використовувати SNMP v3, щоб повністю усунути цю проблему.
- Щоб отримати налаштоване ім'я спільноти, запустіть такі команди командного рядка:
# snmp show config
- Зверніть увагу на поточну конфігурацію, у якій використовуються назви рядків спільноти «public» і/або «private».
Приклад:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- Ви можете вирішити цю проблему, видаливши з конфігурації будь-які хости-пастки, які використовують ro_community "public" / "private" або rw_community рядок, якщо вони існують:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- Потім видаліть рядок ro_community "public" / "private" або rw_community з конфігурації:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- Ми використовуємо наступні команди CLI, щоб повернути рядок спільноти SNMP v2, але використовуємо інше ім'я рядка спільноти та будь-які хости, які були в оригінальній конфігурації.
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- Якщо раніше у вас були налаштовані хости-пастки, налаштовані за допомогою "public" / "private", додайте їх знову, використовуючи нову назву рядка спільноти.
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- Якщо у нас є системи керування SNMP або програмне забезпечення для резервного копіювання, яке опитує деталі домену даних, використовуючи це ім'я рядка спільноти, ми також повинні змінити конфігурацію цих систем керування, щоб використовувати нові рядки
Управління доменом даних SNMP
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.