KB4569509: Vodič za ranjivost DNS servera CVE-2020-1350

Ovaj članak se posebno primenjuje na sledeće verzije operativnog sistema Windows Server:

  • Windows Server, verzija 2004 (Osnovna instalacija servera)

  • Windows Server, verzija 1909 (Osnovna instalacija servera)

  • Windows Server, verzija 1903 (Osnovna instalacija servera)

  • Windows Server, verzija 1803 (Osnovna instalacija servera)

  • Windows Server 2019 (instalacija jezgra servera)

  • Windows Server 2019

  • Windows Server 2016 (instalacija jezgra servera)

  • Windows Server 2016

  • Windows Server 2012 R2 (Osnovna instalacija servera)

  • Windows Server 2012 R2

  • Windows Server 2012 (instalacija jezgra servera)

  • Windows Server 2012

  • Windows Server 2008 R2 za sisteme zasnovane na x64 sistemu 1 (jezgra servera)

  • Windows Server 2008 R2 za sisteme zasnovane na x64 procesorima sa servisnim paketom 1

  • Windows Server 2008 za sisteme zasnovane na x64 procesorima Service Pack 2 (Osnovna instalacija servera)

  • Windows Server 2008 za 64-bitne sisteme Service Pack 2

  • Windows Server 2008 za 32-bitni sistemi sa servisnim paketom 2 (Osnovna instalacija servera)

  • Windows Server 2008 za 32-bitni sistemi sa servisnim paketom 2

Uvod

14 jula 2020, Microsoft je objavio bezbednosnu ispravku za problem opisan u cve-2020-1350 | Ranjivost daljinskog izvršavanja koda za Windows DNS server. Ovaj savet opisuje ranjivost kritičnog daljinskog izvršavanja koda (RCE) koja utiče na Windows servere koji su konfigurisani da pokrenu ulogu DNS servera. Izričito preporučujemo da administratori servera primene bezbednosnu ispravku na najstariju pogodnost.

Rešenje zasnovano na registratoru može da se koristi za zaštitu Windows servera koji utiče na registrator i može se primeniti bez zahteva administratora da ponovo pokrene server. Zbog nepostojanosti ove ranjivosti, administratori će možda morati da sprovedu zaobilazno rješenje pre nego što primene bezbednosnu ispravku da bi im omogućili da ažuriraju svoje sisteme koristeći standardni nalog za raspoređivanje.

Rešenje

Važno Pažljivo sledite korake u ovom odeljku. Može doći do ozbiljnih problema ako neispravno izmenite registrator. Pre nego što je izmenite, napravite rezervnu kopiju registratora za restauraciju u slučaju da dođe do problema.

Da biste zaobišli ovu ranjivost, izvršite sledeću promenu registratora da biste ograničili veličinu najvećeg ulaznog paketa DNS odgovora zasnovanog na TCP, koji je dozvoljen:

Taster: HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\DNS\Parameters VALUE = Tcpreceivepacketveličina  Tip = DWORD Podaci vrednosti = 0Xff00

Napomene

  • Podrazumevani (i maksimalni) podatak vrednosti = 0Xffff.

  • Ako je ova vrednost registratora nalepljena ili se primenjuje na server preko smernica grupe, vrednost se prihvata, ali neće zapravo biti postavljena na vrednost koju očekujete. Vrednost 0x ne može biti ukucana u okviru sa podacima vrednosti . Međutim, može se nalepiti. Ako nalepite vrednost, dobićete decimalnu vrednost od 4325120.

  • Ovo zaobilaženje primenjuje FF00 kao vrednost koja ima decimalnu vrednost od 65280. Ova vrednost je 255 manja od maksimalne dozvoljene vrednosti od 65.535.

  • Morate ponovo pokrenuti DNS uslugu da bi promena registratora stupila na snagu. Da biste to uradili, pokrenite sledeću komandu u okviru pune komandne linije:

net stop dns && net start dns

Kada se rešenje sprovede, Windows DNS server neće moći da razreši DNS imena za svoje klijente ako je DNS odziv sa servera uzvodno veći od 65.280 bajtova.

Važne informacije o ovom zaobilazno rješenje

Paketi DNS odgovora zasnovani na TCP-u koji premašuju preporučenu vrednost biće odbačeni bez greške. Zbog toga moguće je da neki upiti ne mogu da budu odgovori. To može izazvati Nepredviđeni neuspeh. Ovo zaobilaženje će negativno uticati na DNS server samo ako primi važeći TCP odgovor veći od dozvoljenog u prethodnoj ublažavanje (više od 65.280 bajtova). Malo je verovatno da će manja vrednost uticati na standardne primene ili Rekurzivne upite. Međutim, nestandardno korišćenje-slučaj može postojati u datom okruženju. Da biste utvrdili da li će implementacija servera negativno uticati na ovo zaobilaženje, trebalo bi da omogućite vođenje evidencije o dijagnostici i da uhvatite skup uzoraka koji je predstavnik vašeg tipičnog poslovnog toka. Zatim ćete morati da pregledate datoteke evidencije da biste identifikovali prisustvo anomiozno velikog TCP paketa za odgovor Za više informacija pogledajte DNS Evidentiranje i dijagnostiku.

Najčešće postavljana pitanja

Rešenje je dostupno na svim verzijama sistema Windows Server koji koristi DNS ulogu. 

Potvrdili smo da ova postavka registratora ne utiče na prenos DNS zona. 

Ne, obe opcije nisu potrebne. Primena bezbednosne ispravke na sistem rešava ovu ranjivost. Rešenje zasnovano na registratoru obezbeđuje zaštitu sistemu kada odmah ne možete da primenite bezbednosnu ispravku i ne treba da se uzme u obzir kao zamena za bezbednosnu ispravku. Nakon primene ispravke, rešenje više nije potrebno i treba ga ukloniti.

Rešenje je kompatibilno sa bezbednosnom ispravkom. Međutim, modifikacija registratora više neće biti potrebna nakon primene ispravke. Najbolji postupci određuju da se izmene registratora uklanjaju kada više ne budu potrebne za sprečavanje potencijalnog budućeg uticaja koji bi mogao da prouzrokuje pokretanje nestandardne konfiguracije.   

Preporučujemo da svako ko vodi DNS servere da instalira bezbednosnu ispravku što je pre moguće. Ako ne možete odmah da primenite ispravku, moći ćete da zaštitite svoju okolinu pre standardnog nemogućnosti instaliranja ispravki.

Ne. Postavka registratora je specifična za dolazne pakete za DNS odgovor zasnovan na TCP-u i ne utiče globalno na obradu TCP poruka u sistemu.

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Izgleda da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×