Udostępnij za pośrednictwem

Znany problem — usługa Microsoft Defender wykrywa lukę w zabezpieczeniach openSSL w programie Power BI Desktop

  • Artykuł

Usługa Microsoft Defender wykrywa luki w zabezpieczeniach openSSL 3.0.11.0 w grudniu 2023 r. i nowszych wersjach programu Power BI Desktop. Po sprawdzeniu wyników skanowania w usłudze Microsoft Defender zostanie wyświetlona pozycja OpenSSL 3.0.11.0 z jedną słabością. Zgłoszone luki w zabezpieczeniach to CVE-2023-5363 i CVE-2023-5678 i są oznaczone jako Wysokie i Średnie. Luki w zabezpieczeniach odwołują się do bibliotek DLL programu Power BI Desktop ze sterowników Simba Spark ODBC. Jednak luki w zabezpieczeniach są spowodowane obszarami, których nie używamy w sterowniku, a komunikat można zignorować.

Stan: Otwórz

Środowisko produktu: Power BI

Objawy

Usługa Microsoft Defender zgłasza luki w zabezpieczeniach openSSL 3.0.11.0 w programie Power BI Desktop w wersjach z grudnia 2023 r. i nowszych. Wykryte luki w zabezpieczeniach to CVE-2023-5363 i CVE-2023-5678 i są oznaczone jako Wysokie i Średnie. Wyniki skanowania pokazują, że program OpenSSL 3.0.11.0 został wymieniony z jedną słabością.

Skojarzone biblioteki DLL pochodzą ze sterowników Simba Spark ODBC:

  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll

Rozwiązania i obejścia

Możesz ustawić usługę Microsoft Defender, aby wykluczyć te luki w zabezpieczeniach. Luka w zabezpieczeniach CVE-2023-5363 jest powiązana z szyframi, których nie używamy w sterowniku. Luka w zabezpieczeniach CVE-2023-5678 jest powiązana z kluczami DH X9.42, których nie używamy w sterowniku. Oba CVE wyraźnie stwierdzają, że luka w zabezpieczeniach nie ma wpływu na implementację protokołu SSL/TLS. Te CVE nie mają wpływu na sterownik Simba dostarczany z grudniową wersją usługi Power BI.

Przyszłe wersje programu Power BI Desktop będą zawierać program OpenSSL 3.0.13, aby rozwiązać te problemy.

Powiązana zawartość