Problema noto- Microsoft Defender rileva la vulnerabilità OpenSSL in Power BI Desktop
Microsoft Defender rileva le vulnerabilità di OpenSSL 3.0.11.0 nel dicembre 2023 e versioni successive di Power BI Desktop. Quando si controllano i risultati dell'analisi in Microsoft Defender, viene visualizzato OpenSSL 3.0.11.0 elencato con un punto debole. Le vulnerabilità segnalate sono CVE-2023-5363 e CVE-2023-5678 e sono contrassegnate come Alta e Media. Le DLL di Power BI Desktop fanno riferimento alle vulnerabilità dai driver ODBC di Simba Spark. Tuttavia, le vulnerabilità sono dovute ad aree che non vengono usate nel driver e il messaggio può essere ignorato.
Stato: aperto
Esperienza prodotto: Power BI
Sintomi
Microsoft Defender segnala le vulnerabilità di OpenSSL 3.0.11.0 in Power BI Desktop per le versioni di dicembre 2023 e successive. Le vulnerabilità rilevate sono CVE-2023-5363 e CVE-2023-5678 e sono contrassegnate come Alta e Media. I risultati dell'analisi mostrano OpenSSL 3.0.11.0 elencati con una debolezza contro di essa.
Le DLL associate provengono dai driver ODBC di Simba Spark:
- C:\Programmi\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
- C:\Programmi\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
- C:\Programmi\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
- C:\Programmi\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll
Strategie e soluzioni alternative
È possibile impostare Microsoft Defender per escludere queste vulnerabilità. La vulnerabilità CVE-2023-5363 è correlata alle crittografie non usate nel driver. La vulnerabilità CVE-2023-5678 è correlata alle chiavi DH X9.42 non usate nel driver. Entrambe le cve specificamente dichiarano che la vulnerabilità non influisce sull'implementazione SSL/TLS. Queste CVE non influiscono sul driver Simba fornito con la versione di dicembre di Power BI.
Le versioni future di Power BI Desktop conterranno OpenSSL 3.0.13 per risolvere questi problemi.
Contenuto correlato
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per