알려진 문제 - Microsoft Defender가 Power BI Desktop에서 OpenSSL 취약성을 검색합니다.
Microsoft Defender는 2023년 12월 이상 버전의 Power BI Desktop에서 OpenSSL 3.0.11.0 취약성을 검색합니다. Microsoft Defender에서 검사 결과를 검사 때 한 가지 약점이 있는 OpenSSL 3.0.11.0이 나열됩니다. 보고된 취약성은 CVE-2023-5363 및 CVE-2023-5678이며 높음 및 보통으로 표시됩니다. 이 취약성은 Simba Spark ODBC 드라이버의 Power BI Desktop DLL을 참조합니다. 그러나 취약성은 드라이버에서 사용하지 않는 영역으로 인해 발생하며 메시지를 무시할 수 있습니다.
상태: 열기
제품 환경: Power BI
증상
Microsoft Defender는 2023년 12월 이상 버전의 Power BI Desktop에서 OpenSSL 3.0.11.0 취약성을 보고합니다. 검색된 취약성은 CVE-2023-5363 및 CVE-2023-5678이며 높음 및 보통으로 표시됩니다. 검사 결과에는 OpenSSL 3.0.11.0이 한 가지 약점으로 나열되어 있습니다.
연결된 DLL은 Simba Spark ODBC 드라이버에서 제공됩니다.
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll
솔루션 및 해결 방법
이러한 취약성을 제외하도록 Microsoft Defender를 설정할 수 있습니다. CVE-2023-5363 취약성은 드라이버에서 사용하지 않는 암호화와 관련이 있습니다. CVE-2023-5678 취약성은 드라이버에서 사용하지 않는 X9.42 DH 키와 관련이 있습니다. 두 CVE는 특히 취약성이 SSL/TLS 구현에 영향을 주지 않는다고 명시합니다. 이러한 CVE는 Power BI의 12월 버전과 함께 제공되는 Simba 드라이버에 영향을 주지 않습니다.
향후 Power BI Desktop 릴리스에는 이러한 문제를 해결하기 위해 OpenSSL 3.0.13이 포함됩니다.
관련 콘텐츠
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기