Problema conocido: Microsoft Defender detecta vulnerabilidades de OpenSSL en Power BI Desktop
Microsoft Defender detecta vulnerabilidades de OpenSSL 3.0.11.0 en diciembre de 2023 y versiones posteriores de Power BI Desktop. Al consultar los resultados del análisis en Microsoft Defender, verá OpenSSL 3.0.11.0 en la lista con una debilidad. Las vulnerabilidades notificadas son CVE-2023-5363 y CVE-2023-5678, y están marcadas como Altas y Medias. La vulnerabilidad hace referencia a las DLL de Power BI Desktop de los drivers ODBC de Simba Spark. Sin embargo, las vulnerabilidades se deben a áreas que no utilizamos en el driver y se puede ignorar el mensaje.
Estado: Abierto
Experiencia del producto: Power BI
Síntomas
Microsoft Defender notifica vulnerabilidades de OpenSSL 3.0.11.0 en Power BI Desktop para las versiones de diciembre de 2023 y posteriores. Las vulnerabilidades detectadas son CVE-2023-5363 y CVE-2023-5678, y están marcadas como Altas y Medias. Los resultados del análisis muestran que OpenSSL 3.0.11.0 tiene una debilidad.
Los archivos DLL asociados proceden de los drivers ODBC de Simba Spark:
- C:\Archivos de programa\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
- C:\Archivos de programa\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
- C:\Archivos de programa\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
- C:\Archivos de programa\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll
Soluciones y soluciones alternativas
Puede establecer Microsoft Defender para excluir estas vulnerabilidades. La vulnerabilidad CVE-2023-5363 está relacionada con los cifrados que no utilizamos en el driver. La vulnerabilidad CVE-2023-5678 está relacionada con las claves DH X9.42 que no utilizamos en el driver. Ambos CVE indican específicamente que la vulnerabilidad no afecta a la implementación de SSL/TLS. Estos CVE no afectan al driver de Simba que se incluye con la versión de diciembre de Power BI.
Las versiones futuras de Power BI Desktop contendrán OpenSSL 3.0.13 para corregir estos problemas.