POODLE e la sicurezza dei pagamenti

In questa sezione pubblichiamo annunci relativi a problemi di sicurezza individuati e relative azioni da intraprendere per ripristinare un adeguato livello di sicurezza.

Moderatori: Sandro Carniel aka webmaster, Paolo De Dionigi aka Spike00

Avatar utente
Paolo De Dionigi aka Spike00
Site Admin
Messaggi: 1691
Iscritto il: mar feb 08, 2005 10:41 am
Località: Busto Arsizio (VA)
Contatta:

POODLE e la sicurezza dei pagamenti

Messaggioda Paolo De Dionigi aka Spike00 » lun ott 20, 2014 5:30 pm

A seguito della recente scoperta della vulnerabilità POODLE (https://www.openssl.org/~bodo/ssl-poodle.pdf), i sistemi di pagamento online, a partire da Paypal, hanno comunicato che a breve impediranno l'utilizzo del protocollo SSL v3 (v3 significa versione 3, che è appunto quella vulnerabile, tutte le versioni successive del protocollo non sono affette da questo problema) durante le transazioni.
Questo comporta che tutti i sistemi di interfacciamento ai gestori dei pagamenti che facciano uso di questo protocollo smetteranno di funzionare.

In Zen Cart, alcuni dei plugin di pagamento facevano uso di questo protocollo nel senso che nel codice si forza l'uso della versione 3, ma fortunatamente da PHP5, PHP è in grado di negoziare automaticamente la versione migliore del protocollo, quindi la soluzione è semplice e consiste nel modificare il codice rimuovendo la forzatura dell'utilizzo della versione 3, senza specificare altro. In tal modo verrà utilizzata la versione migliore possibile.

SOLUZIONE

Cercare in tutti i files php la seguente stringa

Codice: Seleziona tutto

CURLOPT_SSLVERSION


si troveranno risultati come

Codice: Seleziona tutto

curl_setopt($ch, CURLOPT_SSLVERSION, 3);


o simili.

E' sufficiente commentare la riga in questione, con //

Es:

Codice: Seleziona tutto

//  curl_setopt($ch, CURLOPT_SSLVERSION, 3);


In paypal_curl.php, la riga, come detto, è leggermente diversa, quindi si avrà:

Codice: Seleziona tutto

// CURLOPT_SSLVERSION => 3



Files della distribuzione che presentano questo problema:

/includes/modules/payment/paypal/paypal_curl.php
/includes/modules/payment/authorizenet_aim.php
/includes/modules/payment/authorizenet_echeck.php
/includes/modules/payment/paypaldp.php
/includes/modules/payment/linkpoint_api/class.linkpoint_api.php

Potreste avere altri files che presentano questo problema se avete installato dei plugin che forzino l'uso della versione 3 di SSL. In tal caso dovrete procedere in modo analogo. In caso per questi moduli si verifichino errori di funzionamento in seguito al commento della riga che forza l'uso della versione 3, contattate lo sviluppatore del plugin per avere assistenza.
1)Studiare questo documento prima di fare una domanda: http://url.zen-cart.it/faq
2)CERCA CERCA CERCA CERCA CERCA!

Avatar utente
Paolo De Dionigi aka Spike00
Site Admin
Messaggi: 1691
Iscritto il: mar feb 08, 2005 10:41 am
Località: Busto Arsizio (VA)
Contatta:

Re: POODLE e la sicurezza dei pagamenti

Messaggioda Paolo De Dionigi aka Spike00 » lun nov 10, 2014 10:07 am

AGGIORNAMENTO: Il supporto di SSL3 da parte di Authorize.net è stato rimosso il 4 novembre scorso. Mentre per quanto riguarda Paypal, sul sito internazionale di Zen Cart è indicata la data del 3 dicembre 2014 come data di rimozione del supporto. Pertanto entro tale data dovranno essere apportate le modifiche indicate per poter continuare ad offrire paypal come metodo di pagamento.
1)Studiare questo documento prima di fare una domanda: http://url.zen-cart.it/faq
2)CERCA CERCA CERCA CERCA CERCA!

Avatar utente
Paolo De Dionigi aka Spike00
Site Admin
Messaggi: 1691
Iscritto il: mar feb 08, 2005 10:41 am
Località: Busto Arsizio (VA)
Contatta:

Re: POODLE e la sicurezza dei pagamenti

Messaggioda Paolo De Dionigi aka Spike00 » gio nov 27, 2014 3:47 pm

Oggi ho avuto la conferma da parte di un account manager di Paypal Italia che le indicazioni fornite sono quelle corrette.
Se avete dubbi, o avete una versione vecchia di Zen Cart (e quindi del modulo di pagamento), create un account di test su sandbox di Paypal e provate con quello (ovvero sostituite le configurazioni del modulo di Paypal con quelle di test create su sandbox). Se tutto fila liscio, siete a posto così, se invece ottenete un errore che ha a che fare con SSL3, significa che il vostro sistema sta ancora usando SSL3 e allora dovete fare le ricerche indicate all'inizio del thread e le opportune modifiche.
Se avete una versione molto vecchia di Zen Cart, è anche possibile che non si riesca a testare con sandbox o si ottengano altri errori. In tal caso è giunto il momento (in realtà era già giunto da un bel po'...) di aggiornare Zen Cart all'ultima versione.
1)Studiare questo documento prima di fare una domanda: http://url.zen-cart.it/faq
2)CERCA CERCA CERCA CERCA CERCA!


Torna a “Annunci di sicurezza”

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite