이 문서는 특히 다음 Windows 서버 버전에 적용됩니다.
-
Windows Server, 버전 2004(Server Core 설치)
-
Windows Server, 버전 1909(Server Core 설치)
-
Windows Server, 버전 1903(Server Core 설치)
-
Windows Server, 버전 1803(Server Core 설치)
-
Windows Server 2019(Server Core 설치)
-
Windows Server 2019.
-
Windows Server 2016(Server Core 설치)
-
Windows Server 2016
-
Windows Server 2012 R2(Server Core 설치)
-
Windows Server 2012 R2
-
Windows Server 2012(Server Core 설치)
-
Windows Server 2012
-
Windows Server 2008 R2(x64 기반 시스템용) 서비스 팩 1(Server Core 설치)
-
Windows Server 2008 R2(x64 기반 시스템용) 서비스 팩 1
-
Windows Server 2008(x64 기반 시스템용) 서비스 팩 2(Server Core 설치)
-
Windows Server 2008(x64 기반 시스템용) 서비스 팩 2
-
Windows Server 2008(32비트 시스템용) 서비스 팩 2(Server Core 설치)
-
Windows Server 2008(32비트 시스템용) 서비스 팩 2
소개
2020년 7월 14일 Microsoft는 CVE-2020-1350 | Windows DNS 서버 원격 코드 실행 취약점에 설명된 문제에 대한 보안 업데이트를 릴리스했습니다. 이 권고는 DNS 서버 역할을 실행하도록 구성된 Windows 서버에 영향을 주는 중요한 RCE(원격 코드 실행) 취약점을 설명합니다. 서버 관리자는 보안 업데이트를 가장 빠른 시일 내에 적용하는 것이 좋습니다.
레지스트리 기반 해결 방법을 활용하여 영향을 받는 Windows 서버를 보호할 수 있으며 관리자가 서버를 다시 시작할 필요 없이 구현할 수 있습니다. 이 취약점의 변동성으로 인해 관리자는 표준 배포 케이던스를 사용하여 시스템을 업데이트할 수 있도록 보안 업데이트를 적용하기 전에 해결 방법을 구현해야 할 수도 있습니다.
해결 방법
중요
주의를 기울여 이 절의 단계를 수행하십시오. 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 레지스트리를 수정하기 전에 문제가 발생할 경우에 대비하여 레지스트리를 복원 가능하도록 백업하세요.
이 취약점을 해결하려면 다음 레지스트리를 변경하여 허용되는 가장 큰 인바운드 TCP 기반 DNS 응답 패킷의 크기를 제한합니다.
키: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
값 = TcpReceivePacketSize
유형 = DWORD
값 데이터 = 0xFF00
참고
-
기본값(최대값) 데이터 = 0xFFFF.
-
이 레지스트리 값을 붙여 넣거나 그룹 정책을 통해 서버에 적용할 경우, 값은 허용되지만 실제로 예상하는 값으로 설정되지는 않습니다. 값 0x를 값 데이터 상자에 입력할 수 없습니다. 그러나, 붙여 넣기는 가능합니다. 값을 붙여 넣으면 10진수 값 4325120을 얻게 됩니다.
-
이 해결 방법은 10진수 값 65280이 있는 값으로 FF00을 적용합니다. 이 값은 최대 허용 값인 65,535보다 255 작은 값입니다.
-
레지스트리 변경을 적용하려면 DNS 서비스를 다시 시작해야 합니다. 이렇게 하려면 관리자 권한 명령 프롬프트에서 다음 명령을 입력하세요.
net stop dns && net start dns
해결 방법을 구현하면 업스트림 서버의 DNS 응답이 65,280바이트보다 클 경우 Windows DNS 서버가 클라이언트의 DNS 이름을 확인할 수 없습니다.
이 해결 방법에 대한 중요한 정보
권장 값을 초과하는 TCP 기반 DNS 응답 패킷은 오류 없이 삭제됩니다. 따라서, 일부 쿼리가 응답되지 않을 수 있습니다. 이로 인해 예기치 않은 실패가 발생할 수 있습니다. DNS 서버는 이전의 완화(65,280바이트 초과)에서 허용된 것보다 큰 유효한 TCP 응답을 수신하는 경우에만 이 해결 방법에 의한 부정적인 영향을 받습니다.
감소된 값은 표준 배포 또는 재귀 쿼리에 영향을 미치지 않을 수 있습니다. 그러나, 일반적이지 않은 사용 사례가 특정 환경에 존재할 수 있습니다. 서버 구현이 이 해결 방법에 의한 부정적인 영향을 받는지 여부를 확인하려면 진단 로깅을 사용하도록 설정하고 일반적인 비즈니스 흐름을 대표하는 샘플 집합을 캡처해야 합니다. 그런 다음, 비정상적인 대형 TCP 응답 패킷의 존재를 식별하려면 로그 파일을 확인해야 합니다.
자세한 내용은 DNS 로깅 및 진단 기능을 참조하세요.
질문과 대답
해결 방법은 DNS 역할을 실행하는 모든 버전의 Windows Server에서 사용할 수 있습니다.
이 레지스트리 설정이 DNS 영역 전송에 영향을 주지 않는 것을 확인했습니다.
아니요, 두 옵션 모두 필요하지 않습니다. 시스템에 보안 업데이트를 적용하면 이 취약점이 해결됩니다. 레지스트리 기반 해결 방법은 보안 업데이트를 즉시 적용할 수 없고 보안 업데이트를 대체하는 것으로 간주해서는 안 되는 경우에 시스템을 보호합니다. 업데이트가 적용된 후 해결 방법은 더 이상 필요하지 않으며 제거해야 합니다.
해결 방법은 보안 업데이트와 호환됩니다. 그러나, 업데이트가 적용된 후에는 레지스트리 수정이 더 이상 필요하지 않습니다. 모범 사례는 비표준 구성을 실행하지 못할 수 있는 향후의 잠재적 영향을 방지하기 위해 더 이상 필요하지 않을 때 레지스트리 수정을 제거하도록 알려줍니다.
DNS 서버를 실행하는 모든 사용자는 가능한 빨리 보안 업데이트를 설치하는 것이 좋습니다. 업데이트를 즉시 적용할 수 없는 경우 업데이트를 설치하기 위한 표준 케이던스 전에 환경을 보호할 수 있습니다.
아니요. 레지스트리 설정은 인바운드 TCP 기반 DNS 응답 패킷에 한정되어 있으며, 일반적으로 시스템의 TCP 메시지 처리에 영향을 주지 않습니다.
