KB4569509: smjernice za ranjivost DNS poslužitelja CVE-2020-1350

Vrijedi za: Windows Server version 2004Windows Server version 1909Windows Server version 1903

Uvod


14. srpnja 2020, Microsoft je oslobodio Sigurnosno ažuriranje za problem opisan u CVE-2020-1350 | Windows DNS poslužitelj za daljinsko izvršavanje koda U ovom se savjetodavnom članku opisuje važna ranjivost udaljenih kodova (RCE) koja utječe na poslužitelje sustava Windows koji su konfigurirani tako da pokreću ulogu DNS poslužitelja. Preporučujemo da administratori poslužitelja primjenjuju Sigurnosno ažuriranje pri najranijoj udobnosti.

Zaobilazno rješenje utemeljeno na registru može se koristiti za zaštitu zahvaćenog sustava Windows Server, a može se implementirati, a da administrator ne mora ponovno pokrenuti poslužitelj. Zbog nestabilnosti ove ranjivosti administratori će možda morati implementirati zaobilazno rješenje prije primjene sigurnosnog ažuriranja da bi im omogućile ažuriranje sustava pomoću standardnog ritma implementacije.

Zaobilazno rješenje


VažnoPažljivo slijedite upute u ovom odjeljku. Nepravilna izmjena registra može prouzročiti ozbiljne probleme. Prije nego što ga izmijenite, Sigurnosno kopiranje registra za restauraciju u slučajevima kada se pojave problemi.

Da biste zaobišli tu ranjivost, učinite sljedeće u registru da biste ograničili veličinu najvećeg paketa DNS odaziva koji se temelji na ulaznim TCP-u koji je dopušten:

Subkey: HKEY_LOCAL_MACHINE \System\currentcontrolset\services\dns\parametriVrijednost: Tcpreceivepacketsize Vrsta: d WordPodaci o vrijednosti: 0Xff00

Napomene

  • Zadana (također maksimalna) vrijednost podataka = 0Xffff.
  • Preporučeni podaci o vrijednosti = 0Xff00 (255 bytes manje od najvećeg).
  • Morate ponovno pokrenuti DNS servis da bi se promjena registra stupila na kraj. Da biste to učinili, pokrenite sljedeću naredbu u povišenom naredbenom upitu:

net stop dns && net start dns

Kada se zaobilazno rješenje provede, DNS poslužitelj sustava Windows neće moći razriješiti DNS nazive svojih klijenata ako je DNS odaziv s poslužitelja na vrhu veći od 65.280 bajtova.