Freigeben über

Bekanntes Problem – Microsoft Defender erkennt die OpenSSL-Verwundbarkeit in Power BI Desktop

  • Artikel

Microsoft Defender erkennt Sicherheitsanfälligkeiten von OpenSSL 3.0.11.0 in Power BI Desktop in der Version vom Dezember 2023 und höher. Wenn Sie die Scanergebnisse in Microsoft Defender überprüfen, wird OpenSSL 3.0.11.0 mit einer Sicherheitsschwäche angezeigt. Die gemeldeten Sicherheitsrisiken sind CVE-2023-5363 und CVE-2023-5678 und sind als hoch und mittel gekennzeichnet. Die Verwundbarkeit verweist auf Power BI Desktop-DLLs von den Simba Spark ODBC-Treibern. Die Verwundbarkeiten sind jedoch auf Bereiche zurückzuführen, die wir nicht im Treiber verwenden, und die Nachricht kann ignoriert werden.

Status: Offen

Produkterfahrung: Power BI

Problembeschreibung

Microsoft Defender meldet Verwundbarkeiten von OpenSSL 3.0.11.0 in Power BI Desktop für die Versionen von Dezember 2023 und höher. Die erkannten Sicherheitsrisiken sind CVE-2023-5363 und CVE-2023-5678 und sind als „Hoch“ und „Mittel“ gekennzeichnet. Die Scanergebnisse zeigen OpenSSL 3.0.11.0, die mit einer Schwäche aufgeführt sind.

Die zugeordneten DLLs stammen aus den Simba Spark ODBC-Treibern:

  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll

Lösungen und Problemumgehungen

Sie können Microsoft Defender so festlegen, dass diese Sicherheitsrisiken ausgeschlossen werden. Die CVE-2023-5363-Verwundbarkeit bezieht sich auf Verschlüsselungen, die wir nicht im Treiber verwenden. Die Verwundbarkeit in CVE-2023-5678 bezieht sich auf X9.42 DH-Schlüssel, die nicht im Treiber verwendet werden. Beide CVEs geben insbesondere an, dass sich die Verwundbarkeit nicht auf die SSL/TLS-Implementierung auswirkt. Diese CVEs wirken sich nicht auf den Simba-Treiber aus, der mit der Dezemberversion von Power BI ausgeliefert wurde.

Zukünftige Power BI Desktop-Versionen enthalten OpenSSL 3.0.13, um diese Probleme zu beheben.

Zugehöriger Inhalt