Jump to content

Paypal - vulnerabilità v3 protocollo crittografico Secure Sockets Layer (SSL 3.0).


edoluz

Recommended Posts

Buongiorno a tutti.

Premetto che non sono un programmatore.

Mi scuso per la domanda forse inutile, ma abbiamo appena ricevuto questa comunicazione da Paypal.
Attualmente stiamo usando il modulo Paypal Versione: 3.7.2.

Cosa ci consigliate di fare? Che voi sappiate si sta già lavorando in questa ottica sul modulo?

E' necessario un nostro intervento?

Grazie.

 

È richiesto il tuo intervento immediato

....

in data 14 ottobre 2014, è stata resa nota la vulnerabilità della versione 3 del protocollo crittografico Secure Sockets Layer (SSL 3.0). Da quel momento, PayPal ha cercato di ridurre eventuali problemi per utenti e commercianti con tutte le risorse a disposizione.

 

 

Per contribuire a ridurre i rischi associati a questa vulnerabilità, PayPal interromperà il supporto del protocollo SSL 3.0 alle ore 09:01 CET (orario di Roma, Parigi, ecc.) del 3 dicembre 2104. Purtroppo questo passaggio necessario potrebbe causare problemi di compatibilità e, di conseguenza, impedire ai clienti di pagare con PayPal sul tuo sito o altri problemi di elaborazione.

 

 

La proroga del supporto al protocollo SSL 3.0 fino alle 09:01 CET (orario di Roma, Parigi, ecc.) del 3 dicembre 2104 è stata possibile grazie alle operazioni importanti da noi effettuate per ridurre i rischi associati a questa vulnerabilità per i nostri clienti. Desideriamo rassicurare i nostri clienti che non sussistono prove che il protocollo SSL 3.0 abbia compromesso la sicurezza PayPal.

 

 

Garantire la sicurezza dei conti, dei dati e del denaro dei clienti è la priorità assoluta di PayPal e un principio guida quando si prendono decisioni importanti come questa.

 

 

Siamo a disposizione dei commercianti per aiutarli ad effettuare tutte le operazioni necessarie. Abbiamo creato un'esauriente Guida per commercianti per garantire che i sistemi siano protetti da questa vulnerabilità.

Link to comment
Share on other sites

Grazie mille, molto utile.

L'unica cosa da capire, vista l'importanza di paypal per chi usa PS, è se sarà necessario un aggiornamento del modulo prima del 3 dicembre.

Insomma, capire se vista questa comunicazione i nostri siti rischiano un altro casino con Paypal dopo quello successo poche settimane fa...

Grazie! :)

Link to comment
Share on other sites

Grazie mille, molto utile.

L'unica cosa da capire, vista l'importanza di paypal per chi usa PS, è se sarà necessario un aggiornamento del modulo prima del 3 dicembre.

Insomma, capire se vista questa comunicazione i nostri siti rischiano un altro casino con Paypal dopo quello successo poche settimane fa...

Grazie! :)

 

Cosa è successo poche settimane fa?

 

Potete dirmi se è necessario apportare delle modifiche? ho ricevuto anche io una mail uguale

Link to comment
Share on other sites

Io uso modulo PayPal 3.6.1 e PS 1.5.6.0. Seguendo il thread linkato da tuk66 e la guida linkata nell'email di PayPal ho risolto così:

  • aperto il file /modules/paypal/api/paypal_connect.php
  • cercato la stringa
    @curl_setopt($ch, CURLOPT_SSLVERSION, 3);
  • sostituita con
    @curl_setopt($ch, CURLOPT_SSLVERSION_TLSv1, 3);

Fatto questo la sandbox riprende a funzionare.

Senza fare questa modifica, non è possibile connettersi alla sandbox che già supporta esclusivamente il protocollo TSL 1.2

Ho fatto delle prove e funziona anche il PayPal Live, quindi io ho già effettuato la modifica e sembra che tutto vada a buon fine.

"Sembra" è d'obbligo, qui si va a istinto, quindi non mi assumo alcuna responsabilità!

In caso qualche [spam-filter] dica la sua...  ;)

  • Like 1
Link to comment
Share on other sites

  • 2 weeks later...

I use Prestashop 1.4.4.1 after you upgrade of Paypal Module to version 3.8.0 I find the following notice in modules tab:

 

" - PayPal - In order to use the module you need to install the backward compatibility"

 

how can I fix it? I don't know if I've problems with transactions

thanks

Link to comment
Share on other sites

I use Prestashop 1.4.4.1 after you upgrade of Paypal Module to version 3.8.0 I find the following notice in modules tab:

 

" - PayPal - In order to use the module you need to install the backward compatibility"

 

how can I fix it? I don't know if I've problems with transactions

thanks

 

Hi

use this module http://addons.prestashop.com/en/administration-tools-prestashop-modules/6222-backward-compatibility.html

Edited by 123gas (see edit history)
Link to comment
Share on other sites

Ho installato la Paypal 3.8.0 e utilizzo PS 1.4.4.1


 


a quanto ho capito questo aggiornamento di Paypal si porta dietro un bug naco con aggiornamento 3.6 e mai risolto che noi che utilizziamo Prestashop 1.4 non avevamo. Il probema è serio, perchè con questo nuovo aggiornamento si offrono le spedizioni gratis a random. Se ne parla qui


http://www.prestashop.com/forums/topic/311094-problemi-col-campo-provincia-quando-si-iscrive-un-cliente/page-2?do=findComment&comment=1627137


 


Spero si risolva, nel giro di 2 giorni ho dato via già 2 spedizioni "omaggio" senza alcuna promozione in corso   :wacko:


Link to comment
Share on other sites

Io uso modulo PayPal 3.6.1 e PS 1.5.6.0. Seguendo il thread linkato da tuk66 e la guida linkata nell'email di PayPal ho risolto così:

  • aperto il file /modules/paypal/api/paypal_connect.php
  • cercato la stringa

    @curl_setopt($ch, CURLOPT_SSLVERSION, 3);
  • sostituita con

    @curl_setopt($ch, CURLOPT_SSLVERSION_TLSv1, 3);

Fatto questo la sandbox riprende a funzionare.

Senza fare questa modifica, non è possibile connettersi alla sandbox che già supporta esclusivamente il protocollo TSL 1.2

Ho fatto delle prove e funziona anche il PayPal Live, quindi io ho già effettuato la modifica e sembra che tutto vada a buon fine.

"Sembra" è d'obbligo, qui si va a istinto, quindi non mi assumo alcuna responsabilità!

In caso qualche [spam-filter] dica la sua...  ;)

Buongiorno,

io uso ps 1.5.6.2 e uso il modulo paypal + commissioni ad una versione vecchia 3.5.5.

Forse è arrivato il momento di aggiornare il modulo paypal ad una versione più recente.

Nel frattempo ho seguito la guida di Viger ( quotata sopra) di modificare il file php all'interno del modulo.

Però sinceramente non essendo molto esperto vorrei capire meglio come risolvere questo problema della vulnerabilità.

Grazie mille

Link to comment
Share on other sites

Ciao a tutti

aggiornando il modulo in automatico alla versione:3.8.1 , il problema del protocollo di sicurezza TLS si risolve da solo?

Quindi non serve andare a modificare manualmente dei codici!

E facendo questo aggiornamento prima del 03/12/2014, è tutto ok?

 

Mi potete confermare?

Grazie

 

 

 

PayPal Installato
  • Sviluppato da :PrestaShop  |  Versione :3.8.1  |  Categoria :  Pagamento

Descrizione : Accepts payments by credit cards (CB, Visa, MasterCard, Amex, Aurore, Cofinoga, 4 stars) with PayPal.

Link to comment
Share on other sites

Ciao!

Aggiornando alla ultima versione del modulo (cosa consigliata da PayPal) i problemi di connessione sono risolti. Facendo l'aggiornamento prima del 3 dicembre è tutto ok. Confermato.

 

Io, avendo un modulo PayPal modificato, non posso aggiornalo in automatico, così ho modificato il codice di connessione in maniera un po' più estesa di quanto riportato qualche post più in su:

 

righe 84-85, da:

			@curl_setopt($ch, CURLOPT_SSLVERSION, 3);
			@curl_setopt($ch, CURLOPT_VERBOSE, true);

a:

			@curl_setopt($ch, CURLOPT_SSLVERSION, defined(CURL_SSLVERSION_TLSv1) ? CURL_SSLVERSION_TLSv1 : 1);
			@curl_setopt($ch, CURLOPT_VERBOSE, false);

Alla riga 101, cercare sslv3 e sostituirlo con tls (non posso riportare la riga di codice perché il forum la cancella in automatico...  :blink:

 

Tutto questo verificando bene con il nuovo modulo 3.8.

Finora funziona tutto alla grande, vi darò conferma dopo il 3  :rolleyes:

Edited by viger (see edit history)
  • Like 1
Link to comment
Share on other sites

  • 2 weeks later...
  • 1 year later...

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...