已知问题 - Microsoft Defender 在 Power BI Desktop 中检测到 OpenSSL 漏洞
Microsoft Defender 在 2023 年 12 月以及更高版本的 Power BI Desktop 中检测到 OpenSSL 3.0.11.0 漏洞。 在 Microsoft Defender 中检查扫描结果时,你会看到针对 OpenSSL 3.0.11.0 列出的一个缺点。 报告的漏洞是 CVE-2023-5363 和 CVE-2023-5678,标记为“高”和“中”。 漏洞引用了 Simba Spark ODBC 驱动程序中的 Power BI Desktop DLL。 但是,导致漏洞的原因是我们未在驱动程序中使用的区域,且可以忽略消息。
状态:待处理
产品体验:Power BI
现象
Microsoft Defender 报告了 2023 年 12 月以及更高版本的 Power BI Desktop 中的 OpenSSL 3.0.11.0 漏洞。 检测到的漏洞是 CVE-2023-5363 和 CVE-2023-5678,标记为“高”和“中”。 扫描结果显示了针对 OpenSSL 3.0.11.0 列出的一个缺点。
关联的 DLL 来自于 Simba Spark ODBC 驱动程序:
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll
解决方案和缓解措施
可以设置 Microsoft Defender,以排除这些漏洞。 CVE-2023-5363 漏洞与我们未在驱动程序中使用的密码相关。 CVE-2023-5678 漏洞与我们未在驱动程序中使用的 X9.42 DH 密钥相关。 这两个 CVE 都特别声明该漏洞不会影响 SSL/TLS 实现。 这些 CVE 不会影响 Power BI 12 月版本附带的 Simba 驱动程序。
未来的 Power BI Desktop 版本将包含 OpenSSL 3.0.13,以解决这些问题。