KB4569509:DNS 伺服器弱點 CVE-2020-1350 的指引

適用於: Windows Server version 2004Windows Server version 1909Windows Server version 1903

簡介


2020 年 7 月 14 日 Microsoft 已為 CVE-2020-1350 | Windows DNS 伺服器遠端執行程式碼弱點中所述的問題發行安全性更新。 此資訊安全諮詢說明嚴重的遠端執行程式碼 (RCE) 弱點,其會影響設定為執行 DNS 伺服器角色的 Windows 伺服器。 強烈建議伺服器系統管理員儘早套用安全性更新。

利用以登錄為基礎的因應措施有助於保護受影響的 Windows 伺服器,而且系統管理員可以實作而不需要將伺服器重新開機。 由於此弱點不穩定,系統管理員在套用安全性更新之前,可能必須實作因應措施,以便能夠使用標準部署步調來更新系統。

因應措施


重要
請仔細依照本節中的步驟執行。 如果您不當地修改登錄,可能會發生嚴重的問題。 在您進行修改之前,請先備份登錄,做為還原之用,以免發生問題。

若要解決此弱點,請進行下列登錄變更,以限制所允許的輸入 TCP DNS 回應封包大小上限:

子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 

數值: TcpReceivePacketSize 

類型: DWORD 

數值資料: 0xFF00

注意事項

  • 預設 (也是最大) 數值資料 = 0xFFFF
  • 建議數值 = 0xFF00 (比最大值少 255 個位元組)
  • 您必須重新啟動 DNS 服務,才能讓登錄變更生效。 若要執行這項動作,請在提升權限的命令提示字元中輸入下列命令:

net stop dns && net start dns

實作因應措施之後,當來自上游伺服器的 DNS 回應大於 65,280 個位元組時,Windows DNS 伺服器會無法解析其用戶端的 DNS 名稱。