Problème connu - Microsoft Defender détecte une vulnérabilité OpenSSL dans Power BI Desktop
Microsoft Defender détecte des vulnérabilités OpenSSL 3.0.11.0 dans les versions de décembre 2023 et ultérieures de Power BI Desktop. Lorsque vous vérifiez les résultats de l’analyse dans Microsoft Defender, vous voyez OpenSSL 3.0.11.0 listé avec une faiblesse contre lui. Les vulnérabilités signalées sont CVE-2023-5363 et CVE-2023-5678 ; elles sont marquées comme haute et moyenne. La vulnérabilité référence des DLL Power BI Desktop à partir des pilotes ODBC Simba Spark. Toutefois, les vulnérabilités sont dues à des zones que nous n’utilisons pas dans le pilote et le message peut être ignoré.
Statut : Ouvert
Product Experience : Power BI
Symptômes
Microsoft Defender signale des vulnérabilités OpenSSL 3.0.11.0 dans les versions de décembre 2023 et ultérieures de Power BI Desktop. Les vulnérabilités détectées sont CVE-2023-5363 et CVE-2023-5678 ; elles sont marquées comme haute et moyenne. Les résultats de l’analyse montrent OpenSSL 3.0.11.0 répertorié avec une faiblesse contre lui.
Les DLL associées proviennent des pilotes ODBC Simba Spark :
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll
Solutions et méthodes de contournement
Vous pouvez configurer Microsoft Defender pour exclure ces vulnérabilités. La vulnérabilité CVE-2023-5363 est liée aux chiffrements que nous n’utilisons pas dans le pilote. La vulnérabilité CVE-2023-5678 est liée aux clés X9.42 DH que nous n’utilisons pas dans le pilote. Les deux CVE indiquent spécifiquement que la vulnérabilité n’affecte pas l’implémentation SSL/TLS. Ces CVE n’affectent pas le pilote Simba fourni avec la version de décembre de Power BI.
Les futures versions de Power BI Desktop contiennent OpenSSL 3.0.13 pour résoudre ces problèmes.
Contenu connexe
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour