Jaa


Tunnettu ongelma – Microsoft Defender havaitsee OpenSSL-haavoittuvuuden Power BI Desktopissa

Microsoft Defender havaitsee OpenSSL 3.0.11.0 -haavoittuvuudet joulukuussa 2023 ja sitä uudemmissa Power BI Desktop -versioissa. Kun tarkistat skannauksen tulokset Microsoft Defenderissä, OpenSSL 3.0.11.0 näkyy lueteltuna yhtenä heikkoutena sitä vastaan. Ilmoitetut haavoittuvuudet ovat CVE-2023-5363 ja CVE-2023-5678, ja ne on merkitty suuriksi ja keskitasoisiksi. Haavoittuvuus viittaa Power BI Desktopin DLL-osoitteisiin, jotka ovat peräisin Simba Spark ODBC -ohjaimista. Haavoittuvuudet johtuvat kuitenkin alueista, joita emme käytä ohjaimessa, ja viesti voidaan ohittaa.

Tila: Avaa

Tuotekokemus: Power BI

Oireet

Microsoft Defender raportoi OpenSSL 3.0.11.0 -haavoittuvuuksista Power BI Desktopissa joulukuun 2023 versioissa ja sitä uudemmissa versioissa. Havaitut haavoittuvuudet ovat CVE-2023-5363 ja CVE-2023-5678, ja ne on merkitty suuriksi ja keskitasoisiksi. Skannauksen tuloksissa OpenSSL 3.0.11.0 on lueteltu, ja siinä on yksi heikkous.

Liittyvät DLL-tiedostot ovat Simba Spark ODBC -ohjaimista:

  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll

Ratkaisut ja ratkaisut

Voit asettaa Microsoft Defenderin sulkemaan nämä haavoittuvuudet pois. CVE-2023-5363-haavoittuvuus liittyy salakoodeihin, joita ei käytetä ohjaimessa. CVE-2023-5678-haavoittuvuus liittyy X9.42-DH-avaimiin, joita emme käytä ohjaimessa. Molemmissa CV:issä todetaan erityisesti, että haavoittuvuus ei vaikuta SSL/TLS-suojauksen toteutukseen. Nämä CV:t eivät vaikuta Simba-ohjaimiin, joka toimitti Power BI:n joulukuun version.

Tulevat Power BI Desktop -julkaisut sisältävät OpenSSL 3.0.13:n näiden ongelmien korjaamiseksi.