Aviso de AHOGO

DROWN, que significa "Decrypting RSA with Obsolete and weneked eNcryption", es un ataque de intermediario en TLS (Transport Layer Security) que permite a un atacante descifrar datos en un conector TLS si el servidor admite SSLv2 o si el certificado del servidor se comparte con otro servidor que admite SSLv2.

SSLv2 se ha desactivado de forma predeterminada en Jitterbit junto con nuestra actualización a Apache 2.4.12 a finales de la primavera de 2015 (con el lanzamiento de las versiones 8.2.0 y 5.5.2 de Jitterbit). Esto se aplica únicamente a nuestros servicios web alojados. Además, el cliente debe habilitar HTTPS manualmente en el servidor y puede elegir qué protocolos desea admitir.

Los clientes que utilicen versiones de Jitterbit anteriores a 8.2.0 y 5.5.2 pueden ser vulnerables si han habilitado puntos finales alojados y utilizan HTTPS con esos extremos. Jitterbit recomienda, en esa situación, que el cliente actualice a la última versión de Jitterbit. Si esto no es posible o práctico, el cliente debe configurar su servidor Apache para que no permita SSLv2.

La infraestructura en la nube de Jitterbit no permite SSLv2 (ni SSLv3 en ese caso) y no es vulnerable.

Para obtener información adicional sobre DROWN, consulte: https://drownattack.com/