Känt problem – Microsoft Defender identifierar OpenSSL-sårbarhet i Power BI Desktop
Microsoft Defender identifierar sårbarheter i OpenSSL 3.0.11.0 i december 2023 och senare versioner av Power BI Desktop. När du kontrollerar genomsökningsresultaten i Microsoft Defender visas OpenSSL 3.0.11.0 med en svaghet mot den. De rapporterade säkerhetsriskerna är CVE-2023-5363 och CVE-2023-5678 och är markerade som Hög och Medel. Sårbarheten refererar till Power BI Desktop-DLL:er från Simba Spark ODBC-drivrutinerna. Säkerhetsriskerna beror dock på områden som vi inte använder i drivrutinen och meddelandet kan ignoreras.
Status: Öppna
Produktupplevelse: Power BI
Symtom
Microsoft Defender rapporterar sårbarheter i OpenSSL 3.0.11.0 i Power BI Desktop för versioner december 2023 och senare. De sårbarheter som identifieras är CVE-2023-5363 och CVE-2023-5678 och markeras som Hög och Medel. Genomsökningsresultaten visar OpenSSL 3.0.11.0 listad med en svaghet mot den.
De associerade DLL:erna kommer från Simba Spark ODBC-drivrutinerna:
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll
Lösningar och lösningar
Du kan ange att Microsoft Defender ska undanta dessa sårbarheter. Säkerhetsproblemet CVE-2023-5363 är relaterat till chiffer som vi inte använder i drivrutinen. Säkerhetsrisken CVE-2023-5678 är relaterad till X9.42 DH-nycklar som vi inte använder i drivrutinen. Båda CVE:erna anger specifikt att sårbarheten inte påverkar SSL/TLS-implementeringen. Dessa CVE:er påverkar inte Simba-drivrutinen som levererades med decemberversionen av Power BI.
Framtida Power BI Desktop-versioner innehåller OpenSSL 3.0.13 för att åtgärda dessa problem.
Relaterat innehåll
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för