已知問題 - Microsoft Defender 偵測 Power BI Desktop 中的 OpenSSL 弱點

Microsoft Defender 會在 2023 年 12 月和更新版本的 Power BI Desktop 中偵測 OpenSSL 3.0.11.0 弱點。 當您在 Microsoft Defender 中檢查掃描結果時，您會看到 OpenSSL 3.0.11.0 列出一個弱點。 報告的弱點為 CVE-2023-5363 和 CVE-2023-5678，並標示為高和中。 來自 Simba Spark ODBC 驅動程式的弱點參考 Power BI Desktop DLL。 不過，弱點是由於我們在驅動程式中未使用的區域，因此可以忽略訊息。

狀態：開啟

產品體驗： Power BI

徵兆

Microsoft Defender 報告 Power BI Desktop 2023 年 12 月及更新版本的 OpenSSL 3.0.11.0 弱點。 偵測到的弱點為 CVE-2023-5363 和 CVE-2023-5678，並標示為高和中。 掃描結果顯示 OpenSSL 3.0.11.0 已列出一項弱點。

相關聯的 DLL 來自 Simba Spark ODBC 驅動程式：

• C：\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
• C：\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
• C：\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
• C：\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll

解決方案與因應措施

您可以將 Microsoft Defender 設定為排除這些弱點。 CVE-2023-5363 弱點與我們在驅動程式中未使用的加密相關。 CVE-2023-5678 弱點與我們在驅動程式中未使用的 X9.42 DH 密鑰有關。 這兩個 CVE 特別指出弱點不會影響 SSL/TLS 實作。 這些 CVE 不會影響隨附於 Power BI 12 月版本的 Simba 驅動程式。

未來的 Power BI Desktop 版本將包含 OpenSSL 3.0.13，以修正這些問題。

相關內容

• 關於已知問題