Cet article s’applique spécifiquement aux versions suivantes du serveur Windows :

  • Windows Server version 2004 (installation Server Core)

  • Windows Server version 1909 (installation Server Core)

  • Windows Server version 1903 (installation Server Core)

  • Windows Server version 1803 (installation Server Core)

  • Windows Server 2019 (installation Server Core)

  • Windows Server 2019

  • Windows Server 2016 (installation Server Core)

  • Windows Server 2016

  • Windows Server 2012 R2 (installation Server Core)

  • Windows Server 2012 R2

  • Windows Server 2012 (installation Server Core)

  • Windows Server 2012

  • Windows Server 2008 R2 Service Pack 1 pour systèmes x64 (installation Server Core)

  • Windows Server 2008 R2 Service Pack 1 pour systèmes x64

  • Windows Server 2008 Service Pack 2 pour systèmes x64 (installation Server Core)

  • Windows Server 2008 Service Pack 2 pour systèmes x64

  • Windows Server 2008 Service Pack 2 pour systèmes 32 bits (installation Server Core)

  • Windows Server 2008 Service Pack 2 pour systèmes 32 bits

Introduction

Le 14 juillet 2020, Microsoft a publié une mise à jour de sécurité pour le problème décrit dans CVE-2020-1350 | Vulnérabilité d’exécution de code à distance dans le serveur DNS Windows. Cet avis décrit une vulnérabilité d’exécution critique de code à distance (RCE ou Critical Remote Code Execution) qui affecte les serveurs Windows configurés pour exécuter le rôle Serveur DNS. Nous recommandons fortement aux administrateurs de serveurs d’appliquer la mise à jour de sécurité dès que possible.

Une solution de contournement basée sur le Registre peut être mise à profit pour aider à protéger un serveur Windows concerné et peut être implémentée sans devoir demander à un administrateur de redémarrer le serveur. En raison de la volatilité de cette vulnérabilité, il est possible que les administrateurs doivent implémenter la solution de contournement avant d’appliquer la mise à jour de sécurité afin de leur permettre de mettre à jour leurs systèmes selon une fréquence de déploiement standard.

Solution de contournement

Important
Suivez attentivement les étapes de cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de modifier le Registre, sauvegardez-le pour restauration en cas de problèmes.

Pour contourner cette vulnérabilité, modifiez le Registre comme suit pour restreindre la taille maximale autorisée de paquet de réponse DNS entrant basé sur TCP :

Clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 

Valeur = TcpReceivePacketSize 

Type = DWORD 

Données de valeur = 0xFF00

Remarques

  • Données de valeur par défaut (également maximum) = 0xFFFF.

  • Si cette valeur de registre est collée ou appliquée à un serveur via Group Policy, elle est acceptée mais ne sera réellement pas définie sur la valeur que vous attendez. La valeur 0x ne peut pas être saisie dans la case données de valeur. Cependant, elle peut être collée. Si vous collez la valeur, vous obtenez une décimale de 4325120.

  • Cette solution s’applique FF00 en tant que valeur ayant une décimale de 65280. Cette valeur est 255 moins que la maximale autorisée qui est de 65535.

  • Vous devez redémarrer le service DNS pour que la modification du Registre prenne effet. Pour ce faire, tapez la commande suivante à partir d’une invite de commandes avec élévation de privilèges :

net stop dns && net start dns

Une fois la solution de contournement implémentée, un serveur DNS Windows ne pourra pas résoudre les noms DNS de ses clients si la réponse DNS du serveur en amont est supérieure à 65 280 octets.

Informations importantes sur cette solution de contournement

Les paquets de réponse DNS basés sur TCP qui dépassent la valeur recommandée seront supprimés sans erreur. Par conséquent, il est possible que certaines requêtes ne reçoivent pas de réponse. Cela pourrait entraîner une défaillance imprévue. Un serveur DNS ne sera affecté négativement par cette solution de contournement que s’il reçoit des réponses TCP valides d’une taille supérieure à la valeur autorisée dans l’atténuation précédente (plus de 65 280 octets).

Il est peu probable que la valeur réduite affecte les déploiements standard ou les requêtes récursives. Toutefois, un cas d’utilisation non standard peut exister dans un environnement donné. Pour déterminer si l’implémentation du serveur sera affectée négativement par cette solution de contournement, vous devrez activer la journalisation des diagnostics et capturer un jeu d’exemples représentatif de votre flux métier typique. Ensuite, vous devrez examiner les fichiers journaux pour identifier la présence de paquets de réponse TCP anormalement volumineux.

Pour plus d’informations, consultez l’article DNS Logging and Diagnostics.

Forum aux questions

La solution de contournement est disponible sur toutes les versions de Windows Server exécutant le rôle DNS. 

Nous avons confirmé que ce paramètre de Registre n’affecte pas les transferts de zone DNS. 

Non, les deux options ne sont pas requises. L’application de la mise à jour de sécurité à un système résout cette vulnérabilité. La solution de contournement basée sur le Registre fournit des protections à un système lorsque vous ne pouvez pas appliquer la mise à jour de sécurité immédiatement. Elle ne doit pas être considérée comme un remplacement à la mise à jour de sécurité. Une fois la mise à jour appliquée, la solution de contournement n’est plus nécessaire et doit être supprimée.

La solution de contournement est compatible avec la mise à jour de sécurité. Toutefois, la modification du registre ne sera plus nécessaire une fois la mise à jour appliquée. Les bonnes pratiques exigent que les modifications du registre soient supprimées lorsqu’elles ne sont plus nécessaires pour éviter les impacts futurs potentiels qui pourraient résulter de l’exécution d’une configuration non standard.   

Nous recommandons à tous ceux qui exécutent des serveurs DNS d’installer la mise à jour de sécurité dès que possible. Si vous ne pouvez pas appliquer la mise à jour immédiatement, vous serez en mesure de protéger votre environnement avant votre cadence standard pour l’installation des mises à jour.

Non. Le paramètre du registre est spécifique aux paquets de réponse DNS entrants basés sur TCP et n’affecte pas globalement le traitement des messages TCP d’un système en général.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la traduction ?
Qu’est-ce qui a affecté votre expérience ?

Nous vous remercions pour vos commentaires.

×