KB4569509: DNS サーバーの脆弱性に関するガイダンス CVE-2020-1350

適用対象: Windows Server version 2004Windows Server version 1909Windows Server version 1903

はじめに


2020 年 7 月 14 日、Microsoft は「CVE-2020-1350 | Windows DNS サーバーのリモートでコードが実行される脆弱性」で説明されている問題に対するセキュリティ更新プログラムをリリースしました。 このアドバイザリでは、DNS サーバーの役割を実行するように構成されている Windows サーバーに影響を与える重要なリモート コード実行 (RCE) の脆弱性について説明しています。 サーバー管理者はできるだけ早くセキュリティ更新プログラムを適用することを強くお勧めします。

レジストリベースの回避策は、影響を受ける Windows サーバーを保護するために使用でき、管理者がサーバーを再起動することなく実装できます。 この脆弱性は不安定であるため、管理者は、標準の展開方法を使用してシステムを更新できるようにするために、セキュリティ更新プログラムを適用する前に回避策を実装する必要がある場合があります。

回避策


重要
このセクションの手順の実行には注意が必要です。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 変更する前に、問題の発生に備えて復元用にレジストリのバックアップを作成してください。

この脆弱性を回避するには、次のレジストリを変更して、許可される最大の受信 TCP ベースの DNS 応答パケットのサイズを制限します。

サブキー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 

値: TcpReceivePacketSize 

種類: DWORD 

値のデータ: 0xFF00

注意事項

  • 既定 (最大) 値データ = 0xFFFF
  • 推奨値データ = 0xFF00 (最大値より 255 バイト少ない)。
  • レジストリの変更を有効にするには、DNS サービスを再起動する必要があります。 このためには、管理者特権を持つコマンド プロンプトで次のコマンドを実行します。

net stop dns && net start dns

回避策の実装後、上位サーバーからの DNS 応答が 65,280 バイトより大きい場合、Windows DNS サーバーはクライアントの DNS 名を解決できなくなります。