알려진 문제 - Microsoft Defender가 Power BI Desktop에서 OpenSSL 취약성을 검색합니다
Microsoft Defender는 2023년 12월 버전 이상의 Power BI Desktop에서 OpenSSL 3.0.11.0 취약성을 검색합니다. Microsoft Defender에서 스캔 결과를 확인하실 때 OpenSSL 3.0.11.0이 한 가지 약점으로 나열되어 진 것을 확인해 보실 수 있습니다. 보고된 취약점은 CVE-2023-5363 및 CVE-2023-5678이며 높음 및 중간으로 표시됩니다. 이 취약점은 Simba Spark ODBC 드라이버의 Power BI Desktop DLL을 참고해 주세요. 그러나 이러한 취약점은 드라이버에서 사용하지 않는 영역때문에 발생하게 되며 메시지를 무시할 수 있습니다.
상태: 열기
제품 환경: Power BI
증상
Microsoft Defender는 2023년 12월 이상 버전의 Power BI Desktop에서 OpenSSL 3.0.11.0 취약점을 보고합니다. 검색된 취약점은 CVE-2023-5363 및 CVE-2023-5678이며 높음 및 중간으로 표시됩니다. 스캔 결과에는 OpenSSL 3.0.11.0이 한 가지 약점으로 나열된 것으로 나타나 있습니다.
관련 DLL은 Simba Spark ODBC 드라이버에서 가져온 것입니다:
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll
솔루션 및 해결 방법
이러한 취약점을 제외하기 위해서 Microsoft Defender를 설정해 보실 수 있습니다. CVE-2023-5363 취약점은 드라이버에서 사용하지 않는 암호화와 관련이 있습니다. CVE-2023-5678 취약점은 드라이버에서 사용하지 않는 X9.42 DH 키와 관련이 있습니다. 두 CVE 모두는 이러한 취약점이 SSL/TLS 구현에 영향을 끼치지 않는다고 명시하고 있습니다. 이러한 CVE는 Power BI의 12월 버전과 함께 제공된 Simba 드라이버에 영향을 끼치지 않습니다.
향후 Power BI Desktop 릴리스에는 이러한 문제를 해결하기 위해 OpenSSL 3.0.13이 포함하게 될 예정입니다.