알려진 문제 - Microsoft Defender가 Power BI Desktop에서 OpenSSL 취약성을 검색합니다.

Microsoft Defender는 2023년 12월 이상 버전의 Power BI Desktop에서 OpenSSL 3.0.11.0 취약성을 검색합니다. Microsoft Defender에서 검사 결과를 검사 때 한 가지 약점이 있는 OpenSSL 3.0.11.0이 나열됩니다. 보고된 취약성은 CVE-2023-5363 및 CVE-2023-5678이며 높음 및 보통으로 표시됩니다. 이 취약성은 Simba Spark ODBC 드라이버의 Power BI Desktop DLL을 참조합니다. 그러나 취약성은 드라이버에서 사용하지 않는 영역으로 인해 발생하며 메시지를 무시할 수 있습니다.

상태: 열기

제품 환경: Power BI

증상

Microsoft Defender는 2023년 12월 이상 버전의 Power BI Desktop에서 OpenSSL 3.0.11.0 취약성을 보고합니다. 검색된 취약성은 CVE-2023-5363 및 CVE-2023-5678이며 높음 및 보통으로 표시됩니다. 검사 결과에는 OpenSSL 3.0.11.0이 한 가지 약점으로 나열되어 있습니다.

연결된 DLL은 Simba Spark ODBC 드라이버에서 제공됩니다.

• C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
• C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
• C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
• C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll

솔루션 및 해결 방법

이러한 취약성을 제외하도록 Microsoft Defender를 설정할 수 있습니다. CVE-2023-5363 취약성은 드라이버에서 사용하지 않는 암호화와 관련이 있습니다. CVE-2023-5678 취약성은 드라이버에서 사용하지 않는 X9.42 DH 키와 관련이 있습니다. 두 CVE는 특히 취약성이 SSL/TLS 구현에 영향을 주지 않는다고 명시합니다. 이러한 CVE는 Power BI의 12월 버전과 함께 제공되는 Simba 드라이버에 영향을 주지 않습니다.

향후 Power BI Desktop 릴리스에는 이러한 문제를 해결하기 위해 OpenSSL 3.0.13이 포함됩니다.

관련 콘텐츠

• 알려진 문제 정보