Magento-PayPal-SSLV3 : 12 월 3 일에 PayPal에서 SSL3을 중단하면 작동합니까?

15

Poodle 취약점으로 인해 PayPal로부터 2014 년 12 월 3 일에 결제 API를 사용하여 SSLV3에 대한 지원을 중단한다는 내용의 이메일을 받았습니다.

Magento 1.9.0.1 (최신)의 PayPal Payment Pro / Hosted Solution / Express 지불 통합에 직접적인 영향을 미칠지 여부를 알고 싶은 사람이 있습니까?

그렇다면 누구든지 magento에서 표준 페이팔 모듈을 수정하는 방법에 대해 알고 있습니까?

감사!

paypal

— 로그인 ID
소스

스택 오버플로에는 이미 이것에 대한 몇 가지 스레드가 있습니다. 본질적으로 cURL을 사용하여 TLS를 통해 PayPal의 API에 연결하기 만하면됩니다.

— benmarks

안녕하세요 Benmarks .. 나는 이것을 검색했지만 실제로는 스택 오버플로 사이트가 아니라 마 젠토 부분에서만 검색했습니다. 방금 추가 테스트를 수행 할 수 있는지 확인하기 위해 해당 스레드를 찾으려고했지만 찾을 수없는 것 같습니다. 링크를 알려주시겠습니까? 감사!

— loginid

2

내가 이해하는 것처럼 (실제로 틀린 경우 수정하십시오) 실제로 호스팅 회사 (공유 플랫폼 인 경우) 또는 VPS 또는 전용 서버 인 경우 SSLv3을 비활성화해야합니다. 아직 웹 호스트가 아닌 경우 웹 호스트 가이 작업을 수행해야하며 자신의 서버를 담당하는 경우 httpd.conf를 수정하고 다음을 추가 할 수 있다고 생각합니다.

SSLProtocol ALL -SSLv2 -SSLv3

이렇게하면 v2와 v3이 비활성화되고 TLS가 표준 폴백 연결이라고 생각합니다.

이것은 Apache 설정이므로 다른 것을 사용하는 경우 코드가 약간 변경 될 수 있지만 희망이 있으면 약간 도움이되지만 다른 사람들의 의견을 들어 주셔서 감사합니다.

— 토니 폴라드
소스

자세한 내용은 foundeo.com/products/iis-weak-ssl-ciphers/test.cfm

— Tony Pollard

아아! 그 Tony에게 감사합니다-나는 그것이 나에게 의미가 있다고 생각합니다. 따라서 Magento가 코딩되는 방식과는 전혀 관련이 없지만 호스팅 회사가 어떤 SSL을 사용하는지 (또는 현재 SSL을 사용하지 않는) 호스팅 회사가 구성한 방식과 관련이 있습니다.

— loginid

토니, 당신은 그것을 다시 전면에 가지고 있습니다. 서버에서 시작한 아웃 바운드 요청이 아니라 인바운드 요청에 대해 서버 측 SSLv3을 언급했습니다. PayPal 이메일은 후자와 관련이 있습니다.

— choco-loo

예, 거의 loginid 인 symantec은 확인 도구도 발표했습니다. VPS에서 위에서 설명한 변경 작업을 수행했으며 현재 두 가지 검사를 모두 마쳤으므로 아무런 문제가 없습니다.

— Tony Pollard

choco-loo, 서버에서 아웃 바운드 요청을 시작했지만 SSLv3을 활성화하지 않은 경우 올바르게 사용할 수 없습니까? 또한 브라우저와 지불 게이트웨이도 SSLv3에 대한 지원을 중단하고 있기 때문에 모든 단계에서 중단되지 않습니까? 어쨌든 Magento는 특정 프로토콜을 사용한다고 믿지 않지만 모든 것이 안전한지 확인하려고합니다. 시간이 있다면 자신의 생각을 알고 관심을 가지십시오.

— Tony Pollard

1

이 코드를 삭제하십시오.

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

Magento 사이트의 루트에있는 paypal-tls-test.php 파일에 있습니다. 그런 다음 http://www.yoursite.com/paypal-tls-test.php 와 같이 브라우저를 가리 킵니다 . 스크립트는 더 이상 SSLv3를 지원하지 않는 PayPal 샌드 박스에 연결하려고합니다. 연결에 성공하면 괜찮을 것입니다. 그렇지 않은 경우해야 할 일이 있습니다. 물론 이것은 실제 프로토콜이 어딘가에 Magento에 하드 코딩되어 있지 않다고 가정합니다 (스크립트는 서버의 연결 기능을 확인합니다).

— 랜달 헤르 츨러
소스

poodlescan.com에서 "이 서버는 SSL v3 프로토콜을 지원합니다."라고 말하면서이 스크립트는 "영향을받지 않음"을 알려줍니다 . => 취약점.

— PiTheNumber

0

그것은 모두 CURL 연결에 있습니다. 확인해야 할 것은 서버 클라이언트 측 컬 라이브러리가 TLS를 지원하므로 (폴백 할 수 있음)입니다.

TLS를 강제 실행하려면 다음 정의를 사용하여 간단한 PHP CURL 스크립트를 작성하십시오.

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

성공하면 걱정할 것이 없습니다. 그렇지 않다면 libcurl과 openssl을 다시 컴파일해야 할 것입니다.

— 초코 루
소스

0

클라이언트의 고대 Magento 1.4.1.1 설정에서 컬을 통한 핵심 페이팔 통신은 특정 프로토콜을 강제하지 않으므로 페이팔이 SSLv3에 대한 페이팔 드롭을 지원할 때 curl은 TLS를 사용해야합니다.

12 월 3 일에 확실히 알게 될 것 같습니다.

— 더 현명하게
소스

이미 TLS를 사용하고 있어야하지만, MITM이 TLS에서 SSLv3으로 롤백하도록 강제하는 MITM에 취약합니다. 12/3에서 서버 측은 SSL로 롤백을 거부합니다. 가능한 모든에서 당신은 롤백을 허용하지에 클라이언트 측 수정하려는 경우 지금 페이팔 마침내 그들의 편을 고정 할 때까지 보호 기능을 제공합니다.

— Brian Knoblauch

0

다음 줄을 추가했습니다.

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

테스트 PHP 스크립트로. 이것은 브라우저를 통해 실행 한 결과입니다.

curl_setopt ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

이거 괜찮아? 12 월 3 일 이후에 curl 7.33.0 버전 및 페이팔로 작업 할 수 있습니까? 그렇습니다!

감사합니다. JJ

— 사용자 16279
소스

0

그래서 내 페이팔 계정 관리자가 오늘 전화하여 내 웹 사이트가 ssl 3.0 / poodle을 사용하고 있으며 12 월 3 일 마이그레이션 후 작동하지 않는다고 알려줍니다.

그들은 기본적으로 개발 샌드 박스 서버를 호출하고 수용 가능한 응답을받을 수 있다면 모든 것이 정상이라고 말하는 모든 문서를 알려줍니다.

코드 나 서버 구성에서 전혀 변경하지 않았습니다. 개발 샌드 박스 서버에서 테스트했으며 모든 것이 완벽하게 진행되었습니다. 마 젠토 ver. 1.4.1.0

12 월 3 일에 모든 것이 정상이어야한다는 의미입니까?

https://www.poodlescan.com/을 통해 실행할 때 모든 웹 사이트에서 여전히 아래 메시지가 표시됩니다.

"이 서버는 SSL v3 프로토콜을 지원합니다." "이 서버는 SSL v2 프로토콜을 지원합니다.이 프로토콜을 실제로 비활성화해야합니다."

도움을 주시면 감사하겠습니다.

— 앨빈
소스

즉, 사이트에서 이미 TLS를 수행 할 수 있지만 중간 공격에 취약하여 사용자를 SSL로 설정 한 다음 데이터 스트림을 크래킹 할 수 있습니다. 다른 쪽을 업그레이드해도 물건이 파손되지는 않지만 안전하지 않습니다.

— Brian Knoblauch

0

Apache의 httpd.conf를 편집하고 다음 코드를 추가하십시오.

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

VPS 또는 전용 서버가있는 경우 WHM을 통해이 작업을 수행 할 수도 있습니다.

서비스 구성-> Apache 구성-> 포함 편집기-> 사전 기본 포함으로 이동하십시오.

위의 두 줄을 추가하십시오.

그런 다음 PayPal 샌드 박스에 연결하여 SSLv3가 비활성화되었는지 테스트하거나 Randall Hertzler가 제안한 코드를 추가 할 수 있습니다.

위의 작업을 직접 수행했으며 정상적으로 작동합니다.

— 마이크
소스