既知の問題 - Microsoft Defender が Power BI Desktop で OpenSSL の脆弱性を検出する
Microsoft Defender は、2023 年 12 月以降のバージョンの Power BI Desktop で OpenSSL 3.0.11.0 の脆弱性を検出します。 Microsoft Defender でスキャン結果をチェックすると、OpenSSL 3.0.11.0 が 1 つの弱点と共に一覧表示されます。 報告される脆弱性は CVE-2023-5363 と CVE-2023-5678 であり、高と中としてマークされています。 この脆弱性は、Simba Spark ODBC ドライバーから Power BI Desktop DLL を参照します。 ただし、この脆弱性は、ドライバーで使用しない領域が原因であり、メッセージは無視できます。
状態: オープン
製品エクスペリエンス: Power BI
現象
Microsoft Defender は、2023 年 12 月以降のバージョンの Power BI Desktop で OpenSSL 3.0.11.0 の脆弱性を報告します。 検出された脆弱性は CVE-2023-5363 と CVE-2023-5678 であり、高および中としてマークされています。 スキャン結果には、OpenSSL 3.0.11.0 が 1 つの弱点と共に一覧表示されます。
関連する DLL は、Simba Spark ODBC ドライバーから取得されます。
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\libcurl64.dlla\openssl64.dlla\libssl-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libcrypto-3-x64.dll
- C:\Program Files\Microsoft Power BI Desktop\bin\ODBC Drivers\Simba Spark ODBC Driver\openssl64.dlla\libssl-3-x64.dll
解決策と回避策
これらの脆弱性を除外するように Microsoft Defender を設定できます。 CVE-2023-5363 の脆弱性は、ドライバーで使用しない暗号に関連しています。 CVE-2023-5678 の脆弱性は、ドライバーで使用しない X9.42 DH キーに関連しています。 どちらの CVE も、この脆弱性が SSL/TLS の実装に影響しないことを具体的に示しています。 これらの CVE は、12 月バージョンの Power BI に付属している Simba ドライバーには影響しません。
今後の Power BI Desktop リリースには、これらの問題を解決するための OpenSSL 3.0.13 が含まれます。