MS12-017�: Une vuln�rabilit� dans le serveur DNS peut provoquer un d�ni de service�: 13�mars�2012

Num�ro d'article: 2647170 - Voir les produits auxquels s'applique cet article

INTRODUCTION

Microsoft a publi� le bulletin de s�curit� MS12-017. Pour consulter la totalit� du bulletin de s�curit�, reportez-vous au site Web de Microsoft � l'une des adresses suivantes�:

Utilisateurs grand public�:
http://www.microsoft.com/fr-fr/security/pc-security/bulletins/201203.aspx
(http://www.microsoft.com/fr-fr/security/pc-security/bulletins/201203.aspx)
Ignorer les d�tails�: T�l�chargez les mises � jour pour votre ordinateur priv� ou portable � partir du site Web Microsoft Update maintenant�:
http://www.update.microsoft.com/microsoftupdate/
(http://www.update.microsoft.com/microsoftupdate/)
Professionnels de l'informatique�:
http://technet.microsoft.com/fr-fr/security/bulletin/ms12-017
(http://technet.microsoft.com/fr-fr/security/bulletin/ms12-017)

Proc�dure pour obtenir de l'aide et un support pour cette mise � jour de s�curit�

Protection de votre ordinateur contre les virus et les logiciels malveillants�:

Aide et Support pour les probl�mes de virus et de s�curit�

(http://support.microsoft.com/contactus/cu_sc_virsec_master?ln=fr)

Aide � l'installation des mises � jour�:

Aide et support pour Microsoft Update

(http://support.microsoft.com/ph/6527/fr)

Solutions de s�curit� pour les professionnels de l'informatique�:

R�solution des probl�mes de s�curit� TechNet et support

(http://technet.microsoft.com/fr-fr/security/bb980617.aspx)

Support local selon votre pays�:

Support international

(http://support.microsoft.com/common/international.aspx)

Retour au d�but | Envoyer des commentaires

Plus d'informations

Probl�mes connus concernant cette mise � jour de s�curit�

Sympt�mes
Une fois cette mise � jour de s�curit� install�e, il est possible que le service Serveur DNS ne d�marre ou qu'un message d'erreur concernant une violation d'acc�s s'affiche peu apr�s le d�marrage du service ou du syst�me d'exploitation.

Cause
Ce probl�me peut se produire si le DNS est configur� de mani�re � ce qu'il existe � la fois un enregistrement CNAME et SOA pour l'enregistrement ��@��. L'enregistrement ��@�� identifie la racine d'une zone DNS. Celle-ci peut souvent �tre identifi�e dans le Gestionnaire DNS comme un enregistrement portant le nom ��(identique au dossier parent)��. Les enregistrements SOA et NS sont autoris�s dans ce dossier. RFC�2181 d�crit les v�rifications d'unicit� de nom pour les enregistrements CNAME. Conform�ment � RFC�2181, l'enregistrement CNAME n'existe peut-�tre pas dans un emplacement ��identique au dossier parent�� (��@��) d'une zone.

Contournement
Pour �viter ce probl�me, identifiez et supprimez l'enregistrement CNAME ��@�� l'origine du probl�me de la zone mal configur�e avant d'installer la mise � jour de s�curit�2647170.

Pour aider � identifier les zones posant probl�me, ex�cutez l'exemple de script PowerShell suivant. PowerShell est install� par d�faut dans Windows Server�2008 R2. PowerShell doit �tre install� comme une fonction dans Windows Server�2008 et doit �tre install� manuellement dans Windows Server�2003.

$count = 0
$var = get-wmiobject -query "select * from win32_service where name = 'dns'"
if ($var -ne $null)
{
if ($var.state.tolower() -eq "running")
{
[array] $global:badcnamedomains = $null
$var = get-wmiobject -namespace "root\microsoftdns" -query "select * from microsoftdns_zone"
if ($var -ne $null)
{
foreach ($var2 in $var)
{
$query = "select * from microsoftdns_cnametype where containername = '" + $var2.name + "'"
$var3 = get-wmiobject -namespace "root\microsoftdns" -query $query | where {$_.ownername -eq $var2.name}
if ($var3 -ne $null)
{
$count += 1
$global:badcnamedomains += $var3.domainname
}
}
}
else
{
write-host "No zones returned"
}
}
}
if ($count -gt 0)
{
write-host "Total number of zones found: $count"
write-host "The zones are:"
write-host $global:badcnamedomains
}
elseif ($count -eq 0)
{
write-host "No zones found with the issue"
}
$count = $null
$global:badcnamedomains = $null

Microsoft fournit des exemples de programmation � des fins d'illustration uniquement, sans garantie expresse ou implicite. Ceci inclut, de mani�re non limitative, les garanties implicites de qualit� marchande ou d'ad�quation � un usage particulier. Cet article suppose que vous connaissiez le langage de programmation pr�sent� et les outils utilis�s pour cr�er et d�boguer des proc�dures. Les techniciens du Support technique Microsoft peuvent vous expliquer les fonctionnalit�s d'une proc�dure particuli�re. Toutefois, ils ne modifieront pas ces exemples pour fournir des fonctionnalit�s ajout�es ou des proc�dures de construction pour satisfaire vos besoins sp�cifiques.

Pour ex�cuter l'exemple de script PowerShell, copiez le texte, puis collez-le dans une fen�tre d'invite de commandes PowerShell b�n�ficiant d'autorisations d'administration. Le script identifie les enregistrements CNAME en conflit avec les enregistrements SOA dans les zones DNS d�tenues en local. Pour supprimer les enregistrements CNAME qui ne respectent pas RFC�2181, tapez la commande suivante � l'invite, puis appuyez sur Entr�e�:
DNSCMD /recorddelete nom de zone DNS @ cname

Pour r�soudre le probl�me si l'erreur de violation d'acc�s s'est d�j� produite
Si vous avez d�j� install� la mise � jour de s�curit�2647170 avant de supprimer l'enregistrement CNAME qui pose probl�me, il se peut que vous deviez restaurer la version pr�c�demment install�e du DNS. Supprimez ensuite de la zone mal configur�e l'enregistrement CNAME @ en conflit, puis r�installez la mise � jour de s�curit�2647170.

Retour au d�but | Envoyer des commentaires

La version anglaise de cette mise � jour logicielle installe des fichiers dont les attributs sont r�pertori�s dans les tableaux ci-dessous. Les date et heure de cr�ation de ces fichiers sont exprim�es en temps universel coordonn� (UTC). Les date et heure de ces fichiers s'affichent sur votre ordinateur local conform�ment � l'heure locale et avec le param�tre actif en mati�re d'heure d'�t�. En outre, ces date et heure peuvent changer lorsque vous effectuez certaines op�rations sur les fichiers.