アークウェブのブログ

2014年10月16日

Zen CartへのSSL 3.0の脆弱性POODLEの影響と対応について（Zen Cart公式サイト情報）

投稿者 中野

• Tweet
• 

2014年10月14日に発表された SSL 3.0の脆弱性「POODLE」（Padding Oracle On Downgraded Legacy Encryption）」 に関連して、Zen Cart公式サイトから、以下の告知が出ています。

• Important announcement about POODLE and payment security

SSL 3.0の脆弱性「POODLE」とは？

以下のニュースなどをご覧ください。

• SSL 3.0に深刻な脆弱性「POODLE」見つかる　Googleが対策を説明 - ITmedia

Zen Cartで起こり得るエラーとは？

決済を行っているとき、以下のようなエラーが表示される可能性があります（一部は日本語になっているかもしれません）。

"An error occurred when we tried to contact the payment processor. Please try again, select an alternate payment method, or contact the store owner for assistance. () - (35) error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number"

エラーが起こる原因と対処法

数年前は、現在では推奨されないSSL 2.0でなくSSL 3.0で接続することが重要でした。しかし現在ではTLS 1.0、TLS 1.1、TLS 1.2による接続が推奨されています。PHP 5の最近のバージョンでは、最適なSSL/TLSのバージョンを自動選択する機能があります。
今回SSL 3.0には脆弱性が発見されたため Zen CartのPHPファイルを修正し、特定のSSLバージョンを指定するのでなく自動選択するよう変更する べきです。

変更の詳細については 告知ページ を参照してください。また情報アップデートがあるかもしれませんので、必ず全文を確認した上で作業することをお勧めします。

参考情報

includes/modules/payment/ 配下をgrepすると、以下のことがわかりました。

• Zen Cart 1.3.0.2 JP8 では該当箇所なし。影響なしと考えられる。
• Zen Cart 1.5.1 RC版では paypaldp.php 内に該当箇所あり。要修正。

PayPalは近々SSL 3.0サポートを停止

• PayPal Response to SSL 3.0 Vulnerability

上記の告知によれば、著名な決済サービスであるPayPalは近日中にSSL 3.0のサポートを停止します。

---

これは2014年10月16日現在の情報です。今後変更があるかもしれませんので、必ずリンク先を参照してください。

カテゴリー: Zen Cart(オンラインショップ構築)

タグ： オンラインショップ , セキュリティ , PayPal. 脆弱性 , SSL , Zen Cart

« 前の記事：取材されました：現代ギター社様「GGインターネットショップ」Zen Cart導入事例
» 次の記事：アークウェブ、Movable Type/MTクラウド用プラグインの新版「A-Form 3.8（フォーム作成）」、「A-Member 3.8（会員制サイト構築）」、「A-Reserve 3.8（予約制サイト構築）」をリリース