2014年10月14日に発表された SSL 3.0の脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryption)」 に関連して、Zen Cart公式サイトから、以下の告知が出ています。
以下のニュースなどをご覧ください。
決済を行っているとき、以下のようなエラーが表示される可能性があります(一部は日本語になっているかもしれません)。
"An error occurred when we tried to contact the payment processor. Please try again, select an alternate payment method, or contact the store owner for assistance. () - (35) error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number"
数年前は、現在では推奨されないSSL 2.0でなくSSL 3.0で接続することが重要でした。しかし現在ではTLS 1.0、TLS 1.1、TLS 1.2による接続が推奨されています。PHP 5の最近のバージョンでは、最適なSSL/TLSのバージョンを自動選択する機能があります。
今回SSL 3.0には脆弱性が発見されたため Zen CartのPHPファイルを修正し、特定のSSLバージョンを指定するのでなく自動選択するよう変更する べきです。
変更の詳細については 告知ページ を参照してください。また情報アップデートがあるかもしれませんので、必ず全文を確認した上で作業することをお勧めします。
includes/modules/payment/ 配下をgrepすると、以下のことがわかりました。
上記の告知によれば、著名な決済サービスであるPayPalは近日中にSSL 3.0のサポートを停止します。
---
これは2014年10月16日現在の情報です。今後変更があるかもしれませんので、必ずリンク先を参照してください。