Aviso de AHOGAMIENTO¶

DROWN, que significa "Decrypting RSA con Obsolete y Weakened eNcryption", es un hombre en el medio ataque a TLS (Transport Layer Security) que permite a un atacante descifrar datos en un conector TLS si el servidor admite SSLv2, o si el certificado del servidor se comparte con otro servidor que admite SSLv2.

SSLv2 se ha desactivado de forma predeterminada en Jitterbit junto con nuestra actualización de Apache 2.4.12 a finales de la primavera de 2015 (con el lanzamiento de las versiones 8.2.0 y 5.5.2 de Jitterbit). Esto se aplica únicamente a nuestros servicios web alojados. Además, el cliente debe habilitar HTTPS manualmente en el servidor y el cliente puede elegir qué protocolos admitir.

Los clientes con versiones de Jitterbit anteriores a la 8.2.0 y la 5.5.2 pueden ser vulnerables si han habilitado puntos finales alojados y usan HTTPS con esos extremos. Jitterbit recomienda, en esa situación, que el cliente actualice a la última versión de Jitterbit. Si esto no es posible o práctico, el cliente debe configurar su servidor Apache para no permitir SSLv2.

La infraestructura en la nube de Jitterbit no permite SSLv2 (o SSLv3 para el caso) y no es vulnerable.

Para obtener información adicional sobre DROWN, consulte: https://drownattack.com/