Del via

Kendt problem – Microsoft Defender registrerer En OpenSSL-sikkerhedsrisiko i Power BI Desktop

  • Artikel

Microsoft Defender registrerer sårbarheder i OpenSSL 3.0.11.0 i december 2023 og nyere versioner af Power BI Desktop. Når du kontrollerer scanningsresultaterne i Microsoft Defender, kan du se OpenSSL 3.0.11.0 angivet med én svaghed mod den. De rapporterede sårbarheder er CVE-2023-5363 og CVE-2023-5678 og er markeret som Høj og Mellem. Sårbarheden refererer til Power BI Desktop DLL'er fra Simba Spark ODBC-driverne. Sårbarhederne skyldes dog områder, som vi ikke bruger i driveren, og meddelelsen kan ignoreres.

Status: Åben

Produktoplevelse: Power BI

Symptomer

Microsoft Defender rapporterer sårbarheder i OpenSSL 3.0.11.0 i Power BI Desktop for versioner fra december 2023 og nyere. De registrerede sikkerhedsrisici er CVE-2023-5363 og CVE-2023-5678 og er markeret som Høj og Mellem. Scanningsresultaterne viser OpenSSL 3.0.11.0 angivet med én svaghed imod den.

De tilknyttede DLL-filer er fra Simba Spark ODBC-driverne:

  • C:\Programmer\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
  • C:\Programmer\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
  • C:\Programmer\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll

Løsninger og løsninger

Du kan indstille Microsoft Defender til at udelukke disse sikkerhedsrisici. Sårbarheden CVE-2023-5363 er relateret til ciffer, som vi ikke bruger i driveren. Sårbarheden CVE-2023-5678 er relateret til X9.42 DH-nøgler, som vi ikke bruger i driveren. Begge CVEs angiver specifikt, at sårbarheden ikke påvirker SSL/TLS-implementeringen. Disse CVEs påvirker ikke den Simba-driver, der blev leveret med versionen af Power BI fra december.

Fremtidige Versioner af Power BI Desktop indeholder OpenSSL 3.0.13 for at løse disse problemer.

Relateret indhold