KB4569509: panduan untuk kerentanan server DNS CVE-2020-1350

Artikel ini berlaku secara khusus untuk versi Windows Server berikut ini:

  • Windows Server, versi 2004 (instalasi server Core)

  • Windows Server, versi 1909 (instalasi server Core)

  • Windows Server, versi 1903 (instalasi server Core)

  • Windows Server, versi 1803 (instalasi server Core)

  • Windows Server 2019 (instalasi Core server)

  • Windows Server 2019

  • Windows Server 2016 (instalasi Core server)

  • Windows Server 2016

  • Windows Server 2012 R2 (instalasi server Core)

  • Windows Server 2012 R2

  • Windows Server 2012 (instalasi Core server)

  • Windows Server 2012

  • Windows Server 2008 R2 untuk sistem Paket Layanan 1 (instalasi server Core) berbasis x64

  • Windows Server 2008 R2 untuk sistem Paket Layanan 1-x64

  • Windows Server 2008 untuk sistem Paket Layanan 2 (instalasi server Core) berbasis x64

  • Windows Server 2008 untuk sistem Paket Layanan 2 berbasis x64

  • Windows Server 2008 untuk paket layanan 32-bit sistem 2 (instalasi server Core)

  • Windows Server 2008 untuk paket layanan 32-bit sistem 2

Pendahuluan

Pada tanggal 14 Juli 2020, Microsoft merilis pembaruan keamanan untuk masalah yang diuraikan dalam CVE-2020-1350 | Kerentanan eksekusi kode jarak jauh Windows DNS Server. Penasihat ini menjelaskan kerentanan eksekusi kode jarak jauh kritis (RCE) yang mempengaruhi Server Windows yang dikonfigurasi untuk menjalankan peran server DNS. Kami sangat menyarankan agar administrator server menerapkan pembaruan keamanan pada kenyamanan mereka.

Solusi berbasis registri dapat digunakan untuk membantu melindungi Windows Server yang terpengaruh, dan dapat diimplementasikan tanpa memerlukan administrator untuk memulai ulang server. Karena volatilitas kerentanan ini, administrator mungkin harus menerapkan solusi tersebut sebelum menerapkan pembaruan keamanan untuk memungkinkan mereka memperbarui sistem mereka dengan menggunakan irama penyebaran standar.

Penyelesaian Masalah

Penting Ikuti langkah-langkah dalam bagian ini dengan cermat. Masalah serius dapat terjadi apabila Anda salah memodifikasi registri. Sebelum Anda memodifikasinya, Cadangkan registri untuk pemulihan jika terjadi masalah.

Untuk mengatasi kerentanan ini, buat perubahan registri berikut untuk membatasi ukuran paket respons DNS inbound terbesar berbasis TCP yang diizinkan:

Kunci: HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\DNS\Parameters Nilai = Tcpreceivepacketsize  Ketik = DWORD Data nilai = 0Xff00

Catatan

  • Data nilai default (juga maksimum) = 0Xffff.

  • Jika nilai registri ini ditempelkan atau diterapkan ke server melalui kebijakan grup, nilai diterima tapi tidak akan benar-benar diatur ke nilai yang Anda harapkan. Nilai 0x tidak bisa diketik ke dalam kotak data nilai . Namun, bisa ditempelkan. Jika Anda menempelkan nilai, Anda mendapatkan nilai desimal 4325120.

  • Penanganan masalah ini berlaku FF00 sebagai nilai yang memiliki nilai desimal 65280. Nilai ini adalah 255 kurang dari nilai maksimum yang diizinkan sebesar 65.535.

  • Anda harus memulai ulang layanan DNS agar perubahan registri diterapkan. Untuk melakukan ini, jalankan perintah berikut ini pada prompt perintah yang ditinggikan:

net stop dns && net start dns

Setelah solusi diterapkan, server DNS Windows tidak akan dapat mengatasi nama DNS untuk kliennya jika respons DNS dari server hulu lebih besar dari 65.280 byte.

Informasi penting tentang solusi ini

Paket respons DNS berbasis TCP yang melebihi nilai yang disarankan akan dihapus tanpa kesalahan. Oleh karena itu, ada kemungkinan beberapa kueri mungkin tidak dijawab. Hal ini dapat menyebabkan kegagalan yang tidak diantisipasi. Server DNS akan terpengaruh secara negatif oleh penanganan masalah ini hanya jika menerima respons TCP yang valid yang lebih besar dari yang diperbolehkan dalam mitigasi sebelumnya (lebih dari 65.280 byte). Nilai yang dikurangi tidak mungkin mempengaruhi penyebaran standar atau kueri berulang. Namun, kasus penggunaan non-standar mungkin ada di lingkungan tertentu. Untuk menentukan apakah implementasi server akan terpengaruh oleh solusi ini, Anda harus mengaktifkan pembuatan log diagnostik, dan mengambil kumpulan sampel yang mewakili aliran bisnis umum Anda. Lalu, Anda harus meninjau file log untuk mengidentifikasi kehadiran paket respons TCP yang besar anomali Untuk informasi selengkapnya, lihat pembuatan log dan diagnostik DNS.

Pertanyaan umum

Solusi tersedia di semua versi Windows Server yang menjalankan peran DNS. 

Kami telah mengonfirmasi bahwa pengaturan registri ini tidak mempengaruhi transfer zona DNS. 

Tidak, kedua opsi tidak diperlukan. Menerapkan pembaruan keamanan untuk sistem mengatasi kerentanan ini. Solusi berbasis registri menyediakan perlindungan untuk sistem saat Anda tidak dapat menerapkan pembaruan keamanan dengan segera dan tidak boleh dianggap sebagai pengganti pembaruan keamanan. Setelah pembaruan diterapkan, solusi tidak lagi diperlukan dan harus dihapus.

Solusi ini kompatibel dengan pembaruan keamanan. Namun, modifikasi registri tidak akan lagi diperlukan setelah pembaruan diterapkan. Praktik terbaik mendikte bahwa modifikasi registri akan dihapus ketika tidak lagi diperlukan untuk mencegah potensi dampak mendatang yang bisa diakibatkan menjalankan konfigurasi yang tidak standar.   

Kami menyarankan agar semua orang yang menjalankan server DNS untuk menginstal pembaruan keamanan sesegera mungkin. Jika Anda tidak dapat menerapkan pembaruan segera, Anda akan dapat melindungi lingkungan Anda sebelum irama standar Anda untuk menginstal pembaruan.

Tidak. Pengaturan registri khusus untuk paket respons DNS berbasis TCP inbound dan tidak mempengaruhi pemrosesan sistem pesan TCP secara umum.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×