Data Domain:默认 SNMP 社区名称由安全扫描程序标记 (CVE-1999-0517)
Summary: DDOS 包括用于向管理服务器报告状态和警报的 SNMP 代理。根据 DD SNMP 代理配置,安全扫描仪可能会将 DD 标记为易受“CVE-1999-0517”影响。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
当我们设置常规社区名称(这是 SNMP v2 中的唯一身份验证方法,并通过网络以纯文本形式进行身份验证)时,就会出现此问题,例如“public”和“private”,它们通常分别设置为对 SNMP 代理的只读和读/写访问权限。
我们可以将社区名称视为 SNMP 管理器发送的密码,以便 Data Domain 可以确认其身份并使用请求的查询进行回复。如果这些名称常用且易于预测,任何入侵者都可以猜测它们,并尝试获取有关网络设备的详细信息。
我们可以将社区名称视为 SNMP 管理器发送的密码,以便 Data Domain 可以确认其身份并使用请求的查询进行回复。如果这些名称常用且易于预测,任何入侵者都可以猜测它们,并尝试获取有关网络设备的详细信息。
安全扫描程序报告启用 SNMP 的 DD 受“CVE-1999-0517”的约束,这将是一个潜在的安全问题:
CVE-1999-0517:SNMP 社区名称是默认值(例如 public)、null 或 missing。
CVE-1999-0517:SNMP 社区名称是默认值(例如 public)、null 或 missing。
Cause
默认情况下,在 Data Domain 系统上禁用 SNMP,并且未配置任何社区。您可以配置和启用 SNMP,包括社区字符串名称,例如“public”、“private”或其他一些特定的不太易受攻击的社区名称。
无论 DD SNMP 配置如何,如果禁用,安全扫描程序将报告任何问题。从 DD CLI 运行以下命令以了解 SNMP 代理状态:
# snmp status SNMP is enabled.
启用 SNMP 时,用户必须决定是使用 SNMP v2 还是 SNMP v3,以及在以前的案例中使用哪个团体字符串。
在 SNMP 社区字符串名称中使用“public”和“private”时,扫描仪将尝试已知的常用字符串,如果成功从 DD 获得响应,则会发出警报。这不是 DD 的安全问题,而是管理员必须纠正的配置问题。
Resolution
解决方案包括管理员选择其他(难以猜测)团体字符串名称,或切换 SNMP v3,后者具有更强的身份验证方法。(请参阅底部,了解有关 SNMP v3 管理的更多详细信息的其他 Lightning 知识库文章)
Data Domain 管理 SNMP
- 您可以指定不同的字符串,而不是“public”/“private”。
- 您也可以使用 SNMP v3 来完全消除此问题。
- 要获取配置的社区名称,请运行以下 CLI 命令:
# snmp show config
- 记下当前使用“public”和/或“private”社区字符串名称的配置。
Example:
SNMP v2c Configuration ---------------------- Community Access Hosts --------- --------- ----- public read-only 10.10.10.10 --------- --------- ----- Trap Host Port Community ----------- ---- --------- 10.10.10.10 162 public ----------- ---- ---------
- 您可以通过删除使用“public”/“private”ro_community或从配置中rw_community字符串的任何陷阱主机(如果存在)来解决此问题:
# snmp del trap-host <trap-host name or IP> {:<port number}
EX: snmp del trap-host 10.10.10.10:162
- 然后从配置中删除“public”/“private”ro_community或rw_community字符串:
# snmp del ro-community <community-string-list> # snmp del rw-community <community-string-list>
- 我们使用以下 CLI 命令将 SNMP v2 社区字符串添加回来,但使用不同的社区字符串名称和原始配置中的任何主机。
# snmp add ro-community <new community-string> { hosts <hosts> }
# snmp add rw-community <new community-string> { hosts <hosts> }
- 如果您之前使用“public”/“private”配置了陷阱主机,则使用新的社区字符串名称将其添加回来。
# snmp add trap-host <trap-host name or IP> {:<port number} version v2c community <new community-string>
EX: snmp add trap-host 10.10.10.10:162 version v2c community <new community-string>
- 如果我们有 SNMP 管理系统或备份软件使用社区字符串名称轮询 Data Domain 详细信息,则我们必须更改这些管理系统上的配置,并使用新字符串
Data Domain 管理 SNMP
Affected Products
Data Domain, Data Domain Boost – File System, Data Domain Deduplication Storage Systems, DD OSArticle Properties
Article Number: 000078738
Article Type: Solution
Last Modified: 10 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.