ปัญหาที่ทราบแล้ว - Microsoft Defender ตรวจพบช่องโหว่ OpenSSL ใน Power BI Desktop

Microsoft Defender ตรวจพบช่องโหว่ของ OpenSSL 3.0.11.0 ในเดือนธันวาคม 2023 และเวอร์ชันก่อนหน้าของ Power BI Desktop เมื่อคุณตรวจสอบผลลัพธ์การสแกนใน Microsoft Defender คุณจะเห็นรายการ OpenSSL 3.0.11.0 พร้อมกับความอ่อนแอเพียงอย่างเดียว ช่องโหว่ที่รายงานคือ CVE-2023-5363 และ CVE-2023-5678 และถูกทําเครื่องหมายเป็นสูงและปานกลาง การอ้างอิงช่องโหว่ของ Power BI Desktop DLLs จากโปรแกรมควบคุม Simba Spark ODBC อย่างไรก็ตาม ช่องโหว่เกิดขึ้นจากพื้นที่ที่เราไม่ได้ใช้ในโปรแกรมควบคุม และสามารถละเว้นข้อความได้

สถานะ: เปิด

ประสบการณ์ผลิตภัณฑ์: Power BI

อาการ

รายงาน Microsoft Defender จะรายงานช่องโหว่ OpenSSL 3.0.11.0 ใน Power BI Desktop สําหรับเวอร์ชันที่ธันวาคม 2023 ขึ้นไป ช่องโหว่ที่ตรวจพบคือ CVE-2023-5363 และ CVE-2023-5678 และถูกทําเครื่องหมายเป็นสูงและปานกลาง ผลลัพธ์การสแกนจะแสดง OpenSSL 3.0.11.0 ที่ระบุไว้พร้อมกับความอ่อนแอเพียงจุดเดียว

DLLs ที่เกี่ยวข้องมาจากโปรแกรมควบคุม Simba Spark ODBC:

• C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Driver\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
• C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Driver\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
• C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Driver\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
• C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Driver\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll

โซลูชันและการแก้ไขปัญหาชั่วคราว

คุณสามารถตั้งค่า Microsoft Defender ให้แยกช่องโหว่เหล่านี้ออกได้ ช่องโหว่ CVE-2023-5363 เกี่ยวข้องกับการเข้ารหัสที่เราไม่ได้ใช้ในไดรเวอร์ ช่องโหว่ CVE-2023-5678 เกี่ยวข้องกับคีย์ X9.42 DH ที่เราไม่ได้ใช้ในไดรเวอร์ CVEs ทั้งสองระบุโดยเฉพาะว่าช่องโหว่ไม่มีผลต่อการใช้งาน SSL/TLS CVEs เหล่านี้ไม่มีผลต่อโปรแกรมควบคุม Simba ที่จัดส่งด้วย Power BI เวอร์ชันเดือนธันวาคม

การเผยแพร่ Power BI Desktop ในอนาคตจะประกอบด้วย OpenSSL 3.0.13 เพื่อแก้ไขปัญหาเหล่านี้

เนื้อหาที่เกี่ยวข้อง

• เกี่ยวกับปัญหาที่ทราบแล้ว