KB4569509: Guidance for DNS Server Vulnerability CVE-2020-1350

简介

2020 年 7 月 14 日,微软针对 CVE-2020-1350 | Windows DNS Server 远程代码执行漏洞中描述的问题发布了安全更新。此公告描述了一个严重的远程代码执行 (RCE) 漏洞,该漏洞会影响配置为运行 DNS 服务器角色的 Windows 服务器。我们强烈建议服务器管理员尽早应用安全更新。

可以使用基于注册表的解决方法来帮助保护受影响的 Windows 服务器,而且无需管理员重启服务器即可实施。由于该漏洞的不稳定性,管理员可能需要在应用安全更新之前实施该解决方法,以便能够使用标准的部署进度更新系统。

解决方法

可选: 从以下网址下载解决方法脚本 GitHub Repository

要解决这个漏洞,请对注册表进行以下更改,以限制允许的基于 TCP 的最大入站 DNS 响应数据包的大小:

子键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

值:TcpReceivePacketSize

类型: DWORDDWORD

值数据:0xFF00

注:

默认(也是最大)值数据 = 0xFFFF。

推荐值数据 = 0xFF00(比最大值少 255 字节)。

必须重新启动 DNS 服务,注册表更改才能生效。为此,请在高架命令提示符下运行以下命令:

     ```net stop dns && net start dns```

有关此解决方法的重要信息

超过建议值的基于 TCP 的 DNS 响应数据包将被无误丢弃。因此,有些查询可能不会得到回复。这可能会导致意外故障。只有当 DNS 服务器收到的有效 TCP 响应大于上一个缓解措施所允许的范围(超过 65 280 字节)时,才会受到此解决方法的负面影响。

降低的值不太可能影响标准部署或递归查询。不过,在特定环境中可能存在非标准用例。要确定服务器实施是否会受到此变通方法的不利影响,应启用诊断日志记录,并捕获一个能代表典型业务流程的样本集。然后,您必须查看日志文件,以确定是否存在异常大的 TCP 响应数据包

更多信息,请参阅 DNS Logging and Diagnostics