Compartilhar via


Problema conhecido: o Microsoft Defender detecta vulnerabilidade do OpenSSL no Power BI Desktop

O Microsoft Defender detecta vulnerabilidades do OpenSSL 3.0.11.0 nas versões de dezembro de 2023 e superiores do Power BI Desktop. Quando você verifica os resultados da verificação no Microsoft Defender, você vê o OpenSSL 3.0.11.0 listado com um ponto fraco nele. As vulnerabilidades reportadas são CVE-2023-5363 e CVE-2023-5678 e estão marcadas como Alta e Média. A vulnerabilidade faz referência a DLLs do Power BI Desktop dos drivers ODBC do Simba Spark. No entanto, as vulnerabilidades são devido a áreas que não usamos no driver e a mensagem pode ser ignorada.

Status: aberto

Experiência do produto: Power BI

Sintomas

O Microsoft Defender reporta vulnerabilidades do OpenSSL 3.0.11.0 nas versões de dezembro de 2023 e superiores do Power BI Desktop. As vulnerabilidades detectadas são CVE-2023-5363 e CVE-2023-5678 e estão marcadas como Alta e Média. Os resultados da verificação mostram o OpenSSL 3.0.11.0 listado com um ponto fraco nele.

As DLLs associadas são dos drivers ODBC do Simba Spark:

  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
  • C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll

Soluções e alternativas

Você pode configurar o Microsoft Defender para excluir essas vulnerabilidades. A vulnerabilidade CVE-2023-5363 está relacionada a criptografias que não usamos no driver. A vulnerabilidade CVE-2023-5678 está relacionada às chaves DH X9.42 que não usamos no driver. Ambos os CVEs declaram especificamente que a vulnerabilidade não afeta a implementação SSL/TLS. Esses CVEs não afetam o driver Simba fornecido com a versão de dezembro do Power BI.

As versões futuras do Power BI Desktop conterão o OpenSSL 3.0.13 para corrigir esses problemas.