Aviso de Afogamento¶

DROWN, que significa "Decrypting RSA com Obsolete e Weakened eNcryption," é um man-in-the-middle ataque em TLS (Transport Layer Security) que permite que um invasor descriptografe dados em um conector TLS se o servidor oferecer suporte a SSLv2 ou se o certificado do servidor for compartilhado com outro servidor que ofereça suporte a SSLv2.

O SSLv2 foi desativado por padrão no Jitterbit juntamente com nossa atualização para o Apache 2.4.12 no final da primavera de 2015 (com o lançamento das versões Jitterbit 8.2.0 e 5.5.2). Isso se aplica apenas aos nossos serviços da Web hospedados. Além disso, o HTTPS deve ser ativado manualmente no servidor pelo cliente e o cliente pode escolher quais protocolos serão compatíveis.

Clientes em versões Jitterbit anteriores a 8.2.0 e 5.5.2 podem ficar vulneráveis se tiverem habilitado pontos de extremidade hospedados e estiverem usando HTTPS com esses endpoints. A Jitterbit recomenda, nessa situação, que o cliente atualize para a versão mais recente do Jitterbit. Se isso não for possível ou prático, o cliente deve configurar seu servidor Apache para não permitir SSLv2.

A infraestrutura de nuvem do Jitterbit não permite SSLv2 (ou SSLv3, aliás) e não é vulnerável.

Para obter informações adicionais sobre o DROWN, consulte: https://drownattack.com/