Paypal - vulnerabilità v3 protocollo crittografico Secure Sockets Layer (SSL 3.0).

[edoluz]

Buongiorno a tutti.

Premetto che non sono un programmatore.

Mi scuso per la domanda forse inutile, ma abbiamo appena ricevuto questa comunicazione da Paypal.
Attualmente stiamo usando il modulo Paypal Versione: 3.7.2.

Cosa ci consigliate di fare? Che voi sappiate si sta già lavorando in questa ottica sul modulo?

E' necessario un nostro intervento?

Grazie.

 

È richiesto il tuo intervento immediato

....

in data 14 ottobre 2014, è stata resa nota la vulnerabilità della versione 3 del protocollo crittografico Secure Sockets Layer (SSL 3.0). Da quel momento, PayPal ha cercato di ridurre eventuali problemi per utenti e commercianti con tutte le risorse a disposizione.

 

 

Per contribuire a ridurre i rischi associati a questa vulnerabilità, PayPal interromperà il supporto del protocollo SSL 3.0 alle ore 09:01 CET (orario di Roma, Parigi, ecc.) del 3 dicembre 2104. Purtroppo questo passaggio necessario potrebbe causare problemi di compatibilità e, di conseguenza, impedire ai clienti di pagare con PayPal sul tuo sito o altri problemi di elaborazione.

 

 

La proroga del supporto al protocollo SSL 3.0 fino alle 09:01 CET (orario di Roma, Parigi, ecc.) del 3 dicembre 2104 è stata possibile grazie alle operazioni importanti da noi effettuate per ridurre i rischi associati a questa vulnerabilità per i nostri clienti. Desideriamo rassicurare i nostri clienti che non sussistono prove che il protocollo SSL 3.0 abbia compromesso la sicurezza PayPal.

 

 

Garantire la sicurezza dei conti, dei dati e del denaro dei clienti è la priorità assoluta di PayPal e un principio guida quando si prendono decisioni importanti come questa.

 

 

Siamo a disposizione dei commercianti per aiutarli ad effettuare tutte le operazioni necessarie. Abbiamo creato un'esauriente Guida per commercianti per garantire che i sistemi siano protetti da questa vulnerabilità.

[tuk66]

Vedere http://www.prestashop.com/forums/topic/379422-urgent-paypal-update-from-ssl-30-to-tls per una discussione simile.

[edoluz]

Grazie mille, molto utile.

L'unica cosa da capire, vista l'importanza di paypal per chi usa PS, è se sarà necessario un aggiornamento del modulo prima del 3 dicembre.

Insomma, capire se vista questa comunicazione i nostri siti rischiano un altro casino con Paypal dopo quello successo poche settimane fa...

Grazie!

[olio elianto]

Grazie mille, molto utile.

L'unica cosa da capire, vista l'importanza di paypal per chi usa PS, è se sarà necessario un aggiornamento del modulo prima del 3 dicembre.

Insomma, capire se vista questa comunicazione i nostri siti rischiano un altro casino con Paypal dopo quello successo poche settimane fa...

Grazie!

 

Cosa è successo poche settimane fa?

 

Potete dirmi se è necessario apportare delle modifiche? ho ricevuto anche io una mail uguale

[viger]

Io uso modulo PayPal 3.6.1 e PS 1.5.6.0. Seguendo il thread linkato da tuk66 e la guida linkata nell'email di PayPal ho risolto così:

• aperto il file /modules/paypal/api/paypal_connect.php
• cercato la stringa
  

  @curl_setopt($ch, CURLOPT_SSLVERSION, 3);

• sostituita con
  

  @curl_setopt($ch, CURLOPT_SSLVERSION_TLSv1, 3);

Fatto questo la sandbox riprende a funzionare.

Senza fare questa modifica, non è possibile connettersi alla sandbox che già supporta esclusivamente il protocollo TSL 1.2

Ho fatto delle prove e funziona anche il PayPal Live, quindi io ho già effettuato la modifica e sembra che tutto vada a buon fine.

"Sembra" è d'obbligo, qui si va a istinto, quindi non mi assumo alcuna responsabilità!

In caso qualche [spam-filter] dica la sua... 

[albu]

I use Prestashop 1.4.4.1 after you upgrade of Paypal Module to version 3.8.0 I find the following notice in modules tab:

 

" - PayPal - In order to use the module you need to install the backward compatibility"

 

how can I fix it? I don't know if I've problems with transactions

thanks

[123gas]

I use Prestashop 1.4.4.1 after you upgrade of Paypal Module to version 3.8.0 I find the following notice in modules tab:

 

" - PayPal - In order to use the module you need to install the backward compatibility"

 

how can I fix it? I don't know if I've problems with transactions

thanks

 

Hi

use this module http://addons.prestashop.com/en/administration-tools-prestashop-modules/6222-backward-compatibility.html

Edited November 21, 2014 by 123gas (see edit history)

[albu]

Ho installato la Paypal 3.8.0 e utilizzo PS 1.4.4.1

 

a quanto ho capito questo aggiornamento di Paypal si porta dietro un bug naco con aggiornamento 3.6 e mai risolto che noi che utilizziamo Prestashop 1.4 non avevamo. Il probema è serio, perchè con questo nuovo aggiornamento si offrono le spedizioni gratis a random. Se ne parla qui

http://www.prestashop.com/forums/topic/311094-problemi-col-campo-provincia-quando-si-iscrive-un-cliente/page-2?do=findComment&comment=1627137

 

Spero si risolva, nel giro di 2 giorni ho dato via già 2 spedizioni "omaggio" senza alcuna promozione in corso  

[rancla]

Io uso modulo PayPal 3.6.1 e PS 1.5.6.0. Seguendo il thread linkato da tuk66 e la guida linkata nell'email di PayPal ho risolto così:

• aperto il file /modules/paypal/api/paypal_connect.php
• cercato la stringa

  @curl_setopt($ch, CURLOPT_SSLVERSION, 3);

• sostituita con

  @curl_setopt($ch, CURLOPT_SSLVERSION_TLSv1, 3);

Fatto questo la sandbox riprende a funzionare.

Senza fare questa modifica, non è possibile connettersi alla sandbox che già supporta esclusivamente il protocollo TSL 1.2

Ho fatto delle prove e funziona anche il PayPal Live, quindi io ho già effettuato la modifica e sembra che tutto vada a buon fine.

"Sembra" è d'obbligo, qui si va a istinto, quindi non mi assumo alcuna responsabilità!

In caso qualche [spam-filter] dica la sua... 

Buongiorno,

io uso ps 1.5.6.2 e uso il modulo paypal + commissioni ad una versione vecchia 3.5.5.

Forse è arrivato il momento di aggiornare il modulo paypal ad una versione più recente.

Nel frattempo ho seguito la guida di Viger ( quotata sopra) di modificare il file php all'interno del modulo.

Però sinceramente non essendo molto esperto vorrei capire meglio come risolvere questo problema della vulnerabilità.

Grazie mille

[GrandeLupo]

Ciao a tutti

aggiornando il modulo in automatico alla versione:3.8.1 , il problema del protocollo di sicurezza TLS si risolve da solo?

Quindi non serve andare a modificare manualmente dei codici!

E facendo questo aggiornamento prima del 03/12/2014, è tutto ok?

 

Mi potete confermare?

Grazie

 

 

 

PayPal Installato

• Sviluppato da :PrestaShop  |  Versione :3.8.1  |  Categoria :  Pagamento

Descrizione : Accepts payments by credit cards (CB, Visa, MasterCard, Amex, Aurore, Cofinoga, 4 stars) with PayPal.

[viger]

Ciao!

Aggiornando alla ultima versione del modulo (cosa consigliata da PayPal) i problemi di connessione sono risolti. Facendo l'aggiornamento prima del 3 dicembre è tutto ok. Confermato.

 

Io, avendo un modulo PayPal modificato, non posso aggiornalo in automatico, così ho modificato il codice di connessione in maniera un po' più estesa di quanto riportato qualche post più in su:

 

righe 84-85, da:

			@curl_setopt($ch, CURLOPT_SSLVERSION, 3);
			@curl_setopt($ch, CURLOPT_VERBOSE, true);

a:

			@curl_setopt($ch, CURLOPT_SSLVERSION, defined(CURL_SSLVERSION_TLSv1) ? CURL_SSLVERSION_TLSv1 : 1);
			@curl_setopt($ch, CURLOPT_VERBOSE, false);

Alla riga 101, cercare sslv3 e sostituirlo con tls (non posso riportare la riga di codice perché il forum la cancella in automatico... 

 

Tutto questo verificando bene con il nuovo modulo 3.8.

Finora funziona tutto alla grande, vi darò conferma dopo il 3 

Edited December 1, 2014 by viger (see edit history)

[maxkart]

Domandona da un milione di dollari...

Io che ho una versione P.S. 1.2.5 devo aggiornare?

Mi hanno detto di no ma vorrei avere conferma dai [spam-filter] di P.S.

 

Grazie!

[viger]

Confermo che con i cambiamenti sopra riportati funziona tutto senza problemi. 

[Guest locen]

Ciao a tutti, ma IPN usando il modulo Paypal Europa va attivato?

Grazie a chi risponderà