KB4569509: DNS sunucusu Güvenlik Açığı CVE-2020-1350

Bu makale özellikle aşağıdaki Windows Server sürümleri için geçerlidir:

  • Windows Server, sürüm 2004 (Sunucu Çekirdeği yüklemesi)

  • Windows Server, sürüm 1909 (Sunucu Çekirdeği yüklemesi)

  • Windows Server, sürüm 1903 (Sunucu Çekirdeği yüklemesi)

  • Windows Server, sürüm 1803 (Sunucu Çekirdeği yüklemesi)

  • Windows Server 2019 (Sunucu Çekirdeği yüklemesi)

  • Windows Server 2019

  • Windows Server 2016 (Sunucu Çekirdeği yüklemesi)

  • Windows Server 2016

  • Windows Server 2012 R2 (Sunucu Çekirdeği yüklemesi)

  • Windows Server 2012 R2

  • Windows Server 2012 (Sunucu Çekirdeği yüklemesi)

  • Windows Server 2012

  • X64 tabanlı sistemler için Windows Server 2008 R2 Service Pack 1 (Sunucu Çekirdeği yüklemesi)

  • X64 tabanlı sistemler için Windows Server 2008 R2 Service Pack 1

  • X64 tabanlı sistemler için Windows Server 2008 Service Pack 2 (Sunucu Çekirdeği yüklemesi)

  • X64 tabanlı sistemler için Windows Server 2008 Service Pack 2

  • 32-bit sistemler için Windows Server 2008 Service Pack 2 (Sunucu Çekirdeği yüklemesi)

  • 32-bit sistemler için Windows Server 2008 Service Pack 2

Giriş

Microsoft, 14 Temmuz 2020 tarihinde, CVE-2020-1350 ile açıklanan sorun için bir güvenlik güncelleştirmesi yayımladı | Windows DNS sunucusu uzaktan kod yürütme güvenlik açığı. Bu danışma belgesinde, DNS sunucusu rolünü çalıştıracak şekilde yapılandırılmış Windows sunucularını etkileyen kritik bir uzaktan kod yürütme (RCE) güvenlik açığı açıklanmaktadır. Sunucu yöneticilerinin güvenlik güncelleştirmesini ilk kullanışlarına uygulamalarını kesinlikle öneririz.

Kayıt defterine dayalı bir geçici çözüm, etkilenen Windows Server 'ı korumak için kullanılabilir ve yöneticinin sunucuyu yeniden başlatması gerekmeden gerçekleştirilebilir. Bu güvenlik açığının listesi nedeniyle, yöneticilerin, sistemlerini standart bir dağıtım düzeni kullanarak güncelleştirebilmeleri için güvenlik güncelleştirmesini uygulayabilmeleri için geçici çözümü uygulaması gerekebilir.

Geçici Çözüm

Önemli Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bir sorun olması halinde değiştirmeden önce geri yükleyebilmek için kayıt defterini yedekleyin.

Bu güvenlik açığına geçici bir çözüm için, izin verilen en büyük gelen TCP tabanlı DNS yanıt paketinin boyutunu kısıtlamak için aşağıdaki kayıt defteri değişikliğini yapın:

Anahtar: HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\DNS\Parameters Değer = TcpReceivePacketSize  Tür = DWORD Değer verisi = 0Xff00

Notlar

  • Varsayılan (Ayrıca en yüksek) değer veri = 0xFFFF.

  • Bu kayıt defteri değeri, Grup Ilkesi aracılığıyla bir sunucuya yapıştırılıyor veya bu bir sunucuya uygulanmışsa, değer kabul edilir ancak gerçekte umduğunuz değere ayarlanmayacaktır. Değer verisi kutusuna 0x değeri yazılamaz. Ancak, yapıştırılabilir. Değeri yapıştırırsanız, 4325120ondalık değerini alırsınız.

  • Bu geçici çözüm, 65280 ondalık değeri olan değer olarak FF00 . Bu değer, 65.535 izin verilen en yüksek 255 değerinden daha küçüktür.

  • Kayıt defteri değişikliğinin etkinleşmesi için DNS hizmetini yeniden başlatmanız gerekir. Bunu yapmak için, yükseltilmiş bir komut isteminde aşağıdaki komutu çalıştırırsınız:

net stop dns && net start dns

Geçici çözüm uygulandıktan sonra, yukarı akış sunucusundan gelen DNS yanıtı 65.280 bayttan büyükse Windows DNS sunucusu istemcileri için DNS adlarını çözümleyemez.

Bu geçici çözüm hakkında önemli bilgiler

Önerilen değeri aşan TCP tabanlı DNS yanıt paketleri hatasız olarak bırakılacak. Bu nedenle, bazı sorgular yanıtlanmayabilir. Bu, beklenmeyen bir hataya neden olabilir. DNS sunucusu, yalnızca önceki azaltıcı etken (65.280 bayttan fazla) olan geçerli TCP yanıtları alırsa, bu geçici çözüm tarafından olumsuz etkilenir. Azaltılmış değer, standart dağıtımları veya özyinelemeli sorguları etkilememektedir. Ancak, belirli bir ortamda standart dışı bir kullanım durumu olabilir. Sunucu uygulamasının bu geçici çözümde olumsuz etkilenip etkilenmeyeceğini belirlemek için, tanı günlüğünü etkinleştirmeli ve normal iş akışınızı temsil eden bir örnek küme yakalamalısınız. Ardından, bir dizi büyük TCP yanıt paketi olup olmadığını belirlemek için günlük dosyalarını gözden geçirmeniz gerekir. Daha fazla bilgi için bkz .

Sık sorulan sorular

Geçici çözüm, Windows Server 'ın DNS rolünü çalıştıran tüm sürümlerinde kullanılabilir. 

Bu kayıt defteri ayarının DNS bölge aktarımlarını etkilemediğini onaylamıştır. 

Hayır, her iki seçenek de gerekmez. Güvenlik Güncelleştirmesi sisteme uygulandığında bu güvenlik açığı çözülür. Kayıt defteri tabanlı geçici çözüm, güvenlik güncelleştirmesini hemen uygulayamadığı ve güvenlik güncelleştirmesinde değişiklik olarak değerlendirilmemelidir. Güncelleştirme uygulandıktan sonra, geçici çözüm artık gerekli değildir ve kaldırılmalıdır.

Geçici çözüm güvenlik güncelleştirmesiyle uyumludur. Ancak güncelleştirme uygulandıktan sonra kayıt defteri değişikliğine gerek kalmayacaktır. En iyi uygulamalar, uygun olmayan bir yapılandırmayı çalıştırmaya neden olabilecek olası bir etkiyi önleyebilecek olası etkileri önlerse, kayıt defteri değişikliklerinin kaldırıldığını dikte etmez.   

DNS sunucularını çalıştıran herkesin güvenlik güncelleştirmesini olabildiğince çabuk yüklemesini öneririz. Güncelleştirmeyi hemen uygulayamıyorsanız, güncelleştirmeleri yüklemek için standart düzeni önce ortamınızı koruyabilir.

Hayır. Kayıt defteri ayarı, gelen TCP tabanlı DNS yanıt paketlerine özgüdür ve sistemin genel olarak TCP iletilerinin işlenmesini genel olarak etkilemez.

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yardımcı oldu mu?

Geri bildiriminiz için teşekkür ederiz!

Geri bildiriminiz için teşekkürler! Office destek temsilcilerimizden biriyle görüşmeniz yararlı olabilir.

×