DROWN-Hinweis
DROWN steht für „Decrypting RSA with Obsolete and Weakened eNcryption“ und ist ein Man-in-the-Middle-Angriff auf TLS (Transport Layer Security), der es einem Angreifer ermöglicht, Daten auf einem TLS-Connector zu entschlüsseln, wenn der Server SSLv2 unterstützt oder wenn das Serverzertifikat mit einem anderen Server geteilt wird, der SSLv2 unterstützt.
SSLv2 wurde in Jitterbit standardmäßig deaktiviert, seit wir im späten Frühjahr 2015 auf Apache 2.4.12 aktualisiert haben (mit der Veröffentlichung der Jitterbit-Versionen 8.2.0 und 5.5.2). Dies gilt nur für unsere gehosteten Webdienste. Darüber hinaus muss HTTPS vom Kunden manuell auf dem Server aktiviert werden und der Kunde kann auswählen, welche Protokolle unterstützt werden sollen.
Kunden, die Jitterbit-Versionen älter als 8.2.0 und 5.5.2 verwenden, sind möglicherweise gefährdet, wenn sie gehostete Endpunkte aktiviert haben und HTTPS mit diesen Endpoints verwenden. Jitterbit empfiehlt in diesem Fall, dass der Kunde auf die neueste Version von Jitterbit aktualisiert. Wenn dies nicht möglich oder praktikabel ist, sollte der Kunde seinen Apache-Server so konfigurieren, dass SSLv2 nicht zulässig ist.
Die Cloud-Infrastruktur von Jitterbit lässt kein SSLv2 (und auch kein SSLv3) zu und ist nicht anfällig.
Weitere Informationen zu DROWN finden Sie unter: https://drownattack.com/