KB4569509:DNS 伺服器弱點 CVE-2020-1350 的指引

本文特別適用於下列 Windows 伺服器版本:

  • Windows Server 2004 版 (Server Core 安裝)

  • Windows Server 1909 版 (Server Core 安裝)

  • Windows Server 1903 版 (Server Core 安裝)

  • Windows Server 1803 版 (Server Core 安裝)

  • Windows Server 2019 (Server Core 安裝)

  • Windows Server 2019

  • Windows Server 2016 (Server Core 安裝)

  • Windows Server 2016

  • Windows Server 2012 R2 (Server Core 安裝)

  • Windows Server 2012 R2

  • Windows Server 2012 (Server Core 安裝)

  • Windows Server 2012

  • 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝)

  • 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1

  • 適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)

  • 適用於 x64 型系統的 Windows Server 2008 Service Pack 2

  • 適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)

  • 適用於 32 位元系統的 Windows Server 2008 Service Pack 2

簡介

2020 年 7 月 14 日 Microsoft 已為 CVE-2020-1350 | Windows DNS 伺服器遠端執行程式碼弱點中所述的問題發行安全性更新。 此資訊安全諮詢說明嚴重的遠端執行程式碼 (RCE) 弱點,其會影響設定為執行 DNS 伺服器角色的 Windows 伺服器。 強烈建議伺服器系統管理員儘早套用安全性更新。

利用以登錄為基礎的因應措施有助於保護受影響的 Windows 伺服器,而且系統管理員可以實作而不需要將伺服器重新開機。 由於此弱點不穩定,系統管理員在套用安全性更新之前,可能必須實作因應措施,以便能夠使用標準部署步調來更新系統。

因應措施

重要
請仔細依照本節中的步驟執行。 如果您不當地修改登錄,可能會發生嚴重的問題。 在您進行修改之前,請先備份登錄,做為還原之用,以免發生問題。

若要解決此弱點,請進行下列登錄變更,以限制所允許的輸入 TCP DNS 回應封包大小上限:

機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 

Value = TcpReceivePacketSize。 

Type = DWORD 

Value data = 0xFF00

注意事項

  • 預設 (也是最大) 數值資料 = 0xFFFF

  • 如果透過群組原則貼上此登錄機碼值或套用於伺服器,則該值被接受,但實際上不會設定為預期值。 無法在 Value data 方塊中輸入值 0x。 但是,可以將其貼上。 如果貼上該值,則獲得十進位值 4325120

  • 此解決方法將 FF00 用作值,其十進位值為 65280。 此值比允許的最大值 65,535 小 255。

  • 您必須重新啟動 DNS 服務,才能讓登錄變更生效。 若要執行這項動作,請在提升權限的命令提示字元中輸入下列命令:

net stop dns && net start dns

實作因應措施之後,當來自上游伺服器的 DNS 回應大於 65,280 個位元組時,Windows DNS 伺服器會無法解析其用戶端的 DNS 名稱。

有關此因應措施的重要資訊

超過建議值的 TCP DNS 回應封包將會遭到捨棄,而不會出現錯誤。 因此,可能無法回答某些查詢。 這可能會導致發生非預期的失敗。 只有當 DNS 伺服器收到的有效 TCP 回應大於先前緩和措施 (超過 65,280 個位元組) 允許的大小時,它才會受到此因應措施的負面影響。

降低的數值不太可能會影響標準部署或遞迴查詢。 不過,在指定環境中可能存在非標準使用案例。 若要判斷此因應措施是否會對伺服器實作造成負面影響,應該啟用診斷記錄並擷取可代表典型業務流量的樣本集。 接著,您需要檢閱記錄檔,以識別是否存在異常大的 TCP 回應封包

如需詳細資訊,請參閱 DNS 記錄和診斷 (英文)。

常見問題集

該因應措施適用於執行 DNS 角色的所有 Windows 伺服器版本。 

我們已確認此登錄設定不會影響 DNS 區域傳輸。 

否,不必同時套用兩個選項。 對系統套用安全性更新即可解決此弱點。 當您無法立即套用安全性更新時,以登錄為基礎的因應措施可對系統提供保護,但不應以此取代安全性更新。 套用更新之後,即不再需要該因應措施,而應將其刪除。

因應措施可與安全性更新相容。 但套用更新後即不再需要登錄修改。 最佳做法要求不再需要登錄修改時就要予以移除,防範未來在執行非標準設定可能會造成的影響。   

建議執行 DNS 伺服器的所有人都應儘快安裝安全性更新。 如果您無法立即套用更新,這樣做能在依照標準步調安裝更新之前保護您的環境。

否。這是輸入 TCP DNS 回應封包專用的登錄設定,一般並不會全域地影響系統處理 TCP 訊息。

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

×