KB4569509:DNS 服务器漏洞 CVE-2020-1350 指南

适用于: Windows Server version 2004Windows Server version 1909Windows Server version 1903

简介


2020 年 7 月 14 日,Microsoft 发布了针对 CVE-2020-1350 | Windows DNS 服务器远程代码执行漏洞中描述的问题的安全更新。 此通报描述了影响配置为运行 DNS 服务器角色的 Windows 服务器的关键远程代码执行 (RCE) 漏洞。 我们强烈建议服务器管理员尽早应用此安全更新。

可以利用基于注册表的解决方法来帮助保护受影响的 Windows 服务器,并且无需管理员重新启动服务器即可实现该方法。 由于此漏洞的波动性,管理员在应用此安全更新之前可能必须实施此解决方法,以便他们能使用标准部署节奏更新系统。

解决方法


重要
请仔细遵循本部分中的步骤进行操作。 对注册表修改不当可能会导致严重问题。 修改之前,备份注册表以便在发生问题时进行还原

若要解决此漏洞,请进行以下注册表更改以限制允许的最大基于入站 TCP 的 DNS 响应数据包的大小:

子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 

数值: TcpReceivePacketSize 

类型: DWORD 

数值数据: 0xFF00

注意

  • 默认(也是最大)数值数据 = 0xFFFF
  • 建议数值数据 = 0xFF00(比最大值少 255 字节)。
  • 你必须重新启动 DNS 服务才能使注册表更改生效。 为此,请在显示的命令提示符处运行以下命令:

net stop dns && net start dns

实施解决办法后,当来自上游服务器的 DNS 响应大于 65,280 字节时,Windows DNS 服务器将无法解析其客户端的 DNS 名称。