Aviso de afogamento

DROWN, que significa "Decrypting RSA with Obsolete and Weaked eNcryption", é um ataque do tipo man-in-the-middle ao TLS (Transport Layer Security) que permite que um invasor descriptografe dados em um conector TLS se o servidor oferecer suporte a SSLv2 ou se o certificado do servidor for compartilhado com outro servidor que ofereça suporte a SSLv2.

O SSLv2 foi desabilitado por padrão no Jitterbit junto com nossa atualização para o Apache 2.4.12 no final da primavera de 2015 (com o lançamento das versões 8.2.0 e 5.5.2 do Jitterbit). Isso se aplica somente aos nossos serviços web hospedados. Além disso, o HTTPS precisa ser habilitado manualmente no servidor pelo cliente e o cliente pode escolher quais protocolos oferecer suporte.

Clientes em versões do Jitterbit mais antigas que 8.2.0 e 5.5.2 podem ser vulneráveis se tiverem habilitado endpoints hospedados e estiverem usando HTTPS com esses endpoints. O Jitterbit recomenda, nessa situação, que o cliente atualize para a versão mais recente do Jitterbit. Se isso não for possível ou prático, o cliente deve configurar seu servidor Apache para não permitir SSLv2.

A infraestrutura de nuvem da Jitterbit não permite SSLv2 (ou SSLv3) e não é vulnerável.

Para obter informações adicionais sobre DROWN, consulte: https://drownattack.com/