Problema noto- Microsoft Defender rileva la vulnerabilità OpenSSL in Power BI Desktop
Microsoft Defender rileva le vulnerabilità di OpenSSL 3.0.11.0 nel dicembre 2023 e versioni successive di Power BI Desktop. Quando si controllano i risultati dell'analisi in Microsoft Defender, viene visualizzato OpenSSL 3.0.11.0 elencato con un punto debole. Le vulnerabilità segnalate sono CVE-2023-5363 e CVE-2023-5678 e sono contrassegnate come Alta e Media. Le DLL di Power BI Desktop fanno riferimento alle vulnerabilità dai driver ODBC di Simba Spark. Tuttavia, le vulnerabilità sono dovute ad aree che non vengono usate nel driver e il messaggio può essere ignorato.
Stato: aperto
Esperienza prodotto: Power BI
Sintomi
Microsoft Defender segnala le vulnerabilità di OpenSSL 3.0.11.0 in Power BI Desktop per le versioni di dicembre 2023 e successive. Le vulnerabilità rilevate sono CVE-2023-5363 e CVE-2023-5678 e sono contrassegnate come Alta e Media. I risultati dell'analisi mostrano OpenSSL 3.0.11.0 elencati con una debolezza contro di essa.
Le DLL associate provengono dai driver ODBC di Simba Spark:
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll
Strategie e soluzioni alternative
È possibile impostare Microsoft Defender per escludere queste vulnerabilità. La vulnerabilità CVE-2023-5363 è correlata alle crittografie non usate nel driver. La vulnerabilità CVE-2023-5678 è correlata alle chiavi DH X9.42 non usate nel driver. Entrambe le CVE specificamente dichiarano che la vulnerabilità non influisce sull'implementazione SSL/TLS. Queste CVE non influiscono sul driver Simba fornito con la versione di dicembre di Power BI.
Le versioni future di Power BI Desktop conterranno OpenSSL 3.0.13 per risolvere questi problemi.