Problème connu - Microsoft Defender détecte une vulnérabilité OpenSSL dans Power BI Desktop
Microsoft Defender détecte des vulnérabilités OpenSSL 3.0.11.0 dans les versions de décembre 2023 et ultérieures de Power BI Desktop. Lorsque vous vérifiez les résultats de l’analyse dans Microsoft Defender, vous voyez OpenSSL 3.0.11.0 listé avec une faiblesse contre lui. Les vulnérabilités signalées sont CVE-2023-5363 et CVE-2023-5678 ; elles sont marquées comme haute et moyenne. La vulnérabilité référence des DLL Power BI Desktop à partir des pilotes ODBC Simba Spark. Toutefois, les vulnérabilités sont dues à des zones que nous n’utilisons pas dans le pilote et le message peut être ignoré.
Statut : Ouvert
Product Experience : Power BI
Symptômes
Microsoft Defender signale des vulnérabilités OpenSSL 3.0.11.0 dans les versions de décembre 2023 et ultérieures de Power BI Desktop. Les vulnérabilités détectées sont CVE-2023-5363 et CVE-2023-5678 ; elles sont marquées comme haute et moyenne. Les résultats de l’analyse montrent OpenSSL 3.0.11.0 répertorié avec une faiblesse contre lui.
Les DLL associées proviennent des pilotes ODBC Simba Spark :
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll
Solutions et méthodes de contournement
Vous pouvez configurer Microsoft Defender pour exclure ces vulnérabilités. La vulnérabilité CVE-2023-5363 est liée aux chiffrements que nous n’utilisons pas dans le pilote. La vulnérabilité CVE-2023-5678 est liée aux clés X9.42 DH que nous n’utilisons pas dans le pilote. Les deux CVE indiquent spécifiquement que la vulnérabilité n’affecte pas l’implémentation SSL/TLS. Ces CVE n’affectent pas le pilote Simba fourni avec la version de décembre de Power BI.
Les futures versions de Power BI Desktop contiennent OpenSSL 3.0.13 pour résoudre ces problèmes.