Bilinen sorun - Microsoft Defender, Power BI Desktop'ta OpenSSL güvenlik açığını algılar
Microsoft Defender, Aralık 2023 ve üzeri Power BI Desktop sürümlerinde OpenSSL 3.0.11.0 güvenlik açıklarını algılar. Microsoft Defender'da tarama sonuçlarını denetlediğinizde, OpenSSL 3.0.11.0'ın buna karşı bir zayıflık ile listelendiğini görürsünüz. Bildirilen güvenlik açıkları CVE-2023-5363 ve CVE-2023-5678'tir ve Yüksek ve Orta olarak işaretlenir. Güvenlik açığı, Simba Spark ODBC sürücülerinin Power BI Desktop DLL'lerine başvurur. Ancak, güvenlik açıkları sürücüde kullanmadığımız alanlardan kaynaklanmıştır ve ileti yoksayılabilir.
Durum: Aç
Ürün Deneyimi: Power BI
Belirtiler
Microsoft Defender, Aralık 2023 ve üzeri sürümler için Power BI Desktop'ta OpenSSL 3.0.11.0 güvenlik açıklarını bildirir. Algılanan güvenlik açıkları CVE-2023-5363 ve CVE-2023-5678'tir ve Yüksek ve Orta olarak işaretlenir. Tarama sonuçları, OpenSSL 3.0.11.0'ın bir zayıflık ile listelendiğini gösterir.
İlişkili DLL'ler Simba Spark ODBC sürücülerinden alınmıştır:
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll
Çözümler ve geçici çözümler
Microsoft Defender'ı bu güvenlik açıklarını dışlamak üzere ayarlayabilirsiniz. CVE-2023-5363 güvenlik açığı, sürücüde kullanmadığımız şifrelerle ilgilidir. CVE-2023-5678 güvenlik açığı, sürücüde kullanmadığımız X9.42 DH anahtarlarıyla ilgilidir. Her iki CVE de güvenlik açığının SSL/TLS uygulamasını etkilemediğini özellikle belirtir. Bu CVE'ler, Power BI'ın Aralık sürümüyle birlikte gönderilen Simba sürücüsünü etkilemez.
Gelecekteki Power BI Desktop sürümleri, bu sorunları çözmek için OpenSSL 3.0.13'i içerecektir.