Tunnettu ongelma – Microsoft Defender havaitsee OpenSSL-haavoittuvuuden Power BI Desktopissa
Microsoft Defender havaitsee OpenSSL 3.0.11.0 -haavoittuvuudet joulukuussa 2023 ja sitä uudemmissa Power BI Desktop -versioissa. Kun tarkistat skannauksen tulokset Microsoft Defenderissä, OpenSSL 3.0.11.0 näkyy lueteltuna yhtenä heikkoutena sitä vastaan. Ilmoitetut haavoittuvuudet ovat CVE-2023-5363 ja CVE-2023-5678, ja ne on merkitty suuriksi ja keskitasoisiksi. Haavoittuvuus viittaa Power BI Desktopin DLL-osoitteisiin, jotka ovat peräisin Simba Spark ODBC -ohjaimista. Haavoittuvuudet johtuvat kuitenkin alueista, joita emme käytä ohjaimessa, ja viesti voidaan ohittaa.
Tila: Avaa
Tuotekokemus: Power BI
Oireet
Microsoft Defender raportoi OpenSSL 3.0.11.0 -haavoittuvuuksista Power BI Desktopissa joulukuun 2023 versioissa ja sitä uudemmissa versioissa. Havaitut haavoittuvuudet ovat CVE-2023-5363 ja CVE-2023-5678, ja ne on merkitty suuriksi ja keskitasoisiksi. Skannauksen tuloksissa OpenSSL 3.0.11.0 on lueteltu, ja siinä on yksi heikkous.
Liittyvät DLL-tiedostot ovat Simba Spark ODBC -ohjaimista:
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll
Ratkaisut ja ratkaisut
Voit asettaa Microsoft Defenderin sulkemaan nämä haavoittuvuudet pois. CVE-2023-5363-haavoittuvuus liittyy salakoodeihin, joita ei käytetä ohjaimessa. CVE-2023-5678-haavoittuvuus liittyy X9.42-DH-avaimiin, joita emme käytä ohjaimessa. Molemmissa CV:issä todetaan erityisesti, että haavoittuvuus ei vaikuta SSL/TLS-suojauksen toteutukseen. Nämä CV:t eivät vaikuta Simba-ohjaimiin, joka toimitti Power BI:n joulukuun version.
Tulevat Power BI Desktop -julkaisut sisältävät OpenSSL 3.0.13:n näiden ongelmien korjaamiseksi.