簡介

2020 年 7 月 14 日，Microsoft 發(fā)布了針對 CVE-2020-1350 | Windows DNS 服務(wù)器遠程代碼執(zhí)行漏洞中描述的問題的安全更新。 此通報描述了影響配置為運行 DNS 服務(wù)器角色的 Windows 服務(wù)器的關(guān)鍵遠程代碼執(zhí)行 (RCE) 漏洞。 我們強烈建議服務(wù)器管理員盡早應(yīng)用此安全更新。

可以利用基于注冊表的解決方法來幫助保護受影響的 Windows 服務(wù)器，并且無需管理員重新啟動服務(wù)器即可實現(xiàn)該方法。 由于此漏洞的波動性，管理員在應(yīng)用此安全更新之前可能必須實施此解決方法，以便他們能使用標(biāo)準(zhǔn)部署節(jié)奏更新系統(tǒng)。

解決方法

重要

請仔細遵循本部分中的步驟進行操作。 對注冊表修改不當(dāng)可能會導(dǎo)致嚴重問題。 修改之前，備份注冊表以便在發(fā)生問題時進行還原。

若要解決此漏洞，請進行以下注冊表更改以限制允許的最大基于入站 TCP 的 DNS 響應(yīng)數(shù)據(jù)包的大小：

項：?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

數(shù)值 = TcpReceivePacketSize

類型 = DWORD

數(shù)值數(shù)據(jù) = 0xFF00

注意

默認(也是最大)數(shù)值數(shù)據(jù) = 0xFFFF。

如果通過組策略粘貼此注冊表值或?qū)⑵鋺?yīng)用于服務(wù)器，則會接受該值，但實際上不會設(shè)置為你期望的值。 無法將值 0x 鍵入“數(shù)值數(shù)據(jù)”框中。 但可以粘貼。 如果粘貼該值，則得到一個十進制值 4325120。

此解決方法將 FF00 作為十進制值 65280 的值。 此值比允許的最大值 65535 小 255。

你必須重新啟動 DNS 服務(wù)才能使注冊表更改生效。 為此，請在顯示的命令提示符處運行以下命令：

net stop dns && net start dns

實施解決辦法后，當(dāng)來自上游服務(wù)器的 DNS 響應(yīng)大于 65,280 字節(jié)時，Windows DNS 服務(wù)器將無法解析其客戶端的 DNS 名稱。

有關(guān)此解決方法的重要信息

超過建議值的基于 TCP 的 DNS 響應(yīng)數(shù)據(jù)包將丟棄，而不會出錯。 因此，可能無法響應(yīng)某些查詢。 這可能會導(dǎo)致意外失敗。 只有當(dāng) DNS 服務(wù)器收到的有效 TCP 響應(yīng)大于上一個緩解措施允許的值(超過 65,280 字節(jié))時，它才會受到此解決方法的負面影響。

減少的值不太可能影響標(biāo)準(zhǔn)部署或遞歸查詢。 但是，在給定環(huán)境中可能存在非標(biāo)準(zhǔn)用例。 若要確定服務(wù)器實現(xiàn)是否會受到此解決方法的不利影響，應(yīng)啟用診斷日志記錄并捕獲代表典型業(yè)務(wù)流的示例集。 然后，你需要查看日志文件，以確定是否存在異常大的 TCP 響應(yīng)數(shù)據(jù)包

有關(guān)詳細信息，請參閱 DNS 日志記錄和診斷。

常見問題

總結(jié)

以上是生活随笔為你收集整理的dns服务器漏洞修复,KB4569509：DNS 服务器漏洞 CVE-2020-1350 指南的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。