Partilhar via

Problema conhecido - Microsoft Defender deteta vulnerabilidade OpenSSL no Power BI Desktop

  • Artigo

O Microsoft Defender deteta vulnerabilidades do OpenSSL 3.0.11.0 nas versões de dezembro de 2023 e superiores do Power BI Desktop. Quando você verifica os resultados da verificação no Microsoft Defender, você vê OpenSSL 3.0.11.0 listado com um ponto fraco contra ele. As vulnerabilidades relatadas são CVE-2023-5363 e CVE-2023-5678 e são marcadas como Alta e Média. A vulnerabilidade faz referência a DLLs do Power BI Desktop dos drivers ODBC do Simba Spark. No entanto, as vulnerabilidades são devidas a áreas que não usamos no driver e a mensagem pode ser ignorada.

Estado: Aberto

Experiência do produto: Power BI

Sintomas

O Microsoft Defender relata vulnerabilidades do OpenSSL 3.0.11.0 no Power BI Desktop para versões de dezembro de 2023 e superiores. As vulnerabilidades detetadas são CVE-2023-5363 e CVE-2023-5678 e estão marcadas como Alta e Média. Os resultados da verificação mostram OpenSSL 3.0.11.0 listado com uma fraqueza contra ele.

As DLLs associadas são dos drivers ODBC Simba Spark:

  • C:\Arquivos de Programas\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
  • C:\Arquivos de Programas\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
  • C:\Arquivos de Programas\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
  • C:\Arquivos de Programas\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll

Soluções e soluções alternativas

Você pode configurar o Microsoft Defender para excluir essas vulnerabilidades. A vulnerabilidade CVE-2023-5363 está relacionada a cifras que não usamos no driver. A vulnerabilidade CVE-2023-5678 está relacionada às chaves DH X9.42 que não usamos no driver. Ambos os CVEs afirmam especificamente que a vulnerabilidade não afeta a implementação SSL/TLS. Essas CVEs não afetam o driver Simba fornecido com a versão de dezembro do Power BI.

Versões futuras do Power BI Desktop conterão OpenSSL 3.0.13 para corrigir esses problemas.

Conteúdos relacionados