KB4569509: pokyny pro chybu zabezpečení serveru DNS CVE-2020-1350

Platí pro: Windows Server version 2004Windows Server version 1909Windows Server version 1903

Úvod


14. července 2020 vydala společnost Microsoft aktualizaci zabezpečení, která řeší problém popsaný v bulletinu CVE-2020-1350 | Chyba zabezpečení serveru DNS v systému Windows umožňující vzdálené spuštění kódu Tento informační zpravodaj popisuje chybu zabezpečení typu kritická vzdálená spuštění (RCE), která se týká serverů Windows konfigurovaných pro spuštění role serveru DNS. Důrazně doporučujeme, aby správci serveru tuto aktualizaci zabezpečení nainstalovali co nejdříve.

K ochraně ovlivněného serveru Windows můžete použít zástupné řešení založené na registru a může se implementovat bez nutnosti správce restartovat server. Z důvodu nestálosti této chyby zabezpečení může se stát, že správci budou muset toto alternativní řešení implementovat před instalací aktualizace zabezpečení, aby mohli tyto systémy aktualizovat pomocí standardního nasazení četnost.

Alternativní řešení


DůležitéDodržujte prosím pečlivě postup uvedený v této části. V případě nesprávné úpravy registru by mohly nastat závažné problémy. Než ho upravíte, zálohujte registr pro obnovení v případě, že dojde k problémům.

Pokud chcete tuto chybu zabezpečení vyřešit, udělejte následující změnu registru, která omezí velikost největšího příchozího paketu odpovědí DNS založeného na protokolu TCP, který je povolen:

Podklíč: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parametersHodnota: TcpReceivePacketSize Typ: DWORDÚdaj hodnoty: 0xFF00

Poznámky:

  • Výchozí (taky maximální) údaj hodnoty = 0xFFFF.
  • Doporučená údaj hodnoty = 0xFF00 (255 bajtů nižší než maximální)
  • Změna registru se projeví až po restartování služby DNS. To provedete spuštěním následujícího příkazu na příkazovém řádku se zvýšenými oprávněními:

net stop dns && net start dns

Po implementaci tohoto řešení nebude server DNS systému Windows schopen přeložit názvy DNS pro jeho klienty, pokud je odpověď DNS ze serveru pro odesílání dat větší než 65 280 bajtů.