Google: Nutzer von Compute Engine sollten neue SSL-Zertifikate generieren

Als Grund nennt es "neue Erkenntnisse" zu Heartbleed. Für die Google Search Appliance gibt es immer noch keinen Fix. Auch hier sind - sobald das Update vorliegt - neue Zertifikate nötig.

Google hat Kunden, die seine Compute Engine nutzen, informiert, dass sie neue Schlüssel für Dienste generieren sollten, die OpenSSL nutzen. Das steht in einem heute aktualisierten Blogeintrag über die OpenSSL-Sicherheitslücke Heartbleed. Als Grund nennt Google unspezifizierte „neue Erkenntnisse“. Für die Google Search Appliance wird immer noch an Patches gearbeitet.

Logo Google Compute Engine

Der Blogeintrag von Matthew O’Connor stammt ursprünglich vom 9. April. Er meldete, dass Google prompt auf Hertbleed reagiert und eine Reihe Dienste gepatcht hatte: Suche, Gmail, YouTube, Wallet, Play, Apps, App Engine, AdWords, DoubleClick, Maps, Maps Engine, Earth, Analytics und Tag Manager. Am 12. April gab es ein Update, das Fixes für Google AdWords, DoubleClick, Maps, Maps Engine und Earth meldete.

Die heutige Ergänzung weist auch darauf hin, dass für die Google Search Appliance neue Schlüssel generiert werden sollten, sobald ein Patch vorliegt. Dies ist allerdings weiter nicht der Fall.

Die Heartbleed-Lücke CVE-2014-0160 steckt in OpenSSL 1.01 und 1.02 beta. Dieses Programm kommt vor allem auf Web- und E-Mail-Servern, in VPN-Systemen und auch in bestimmten Client-Anwendungen zum Einsatz.

In Googles Fall ist auch Android 4.1.1 betroffen, Google zufolge jedoch keine andere Android-Variante. Google hat nach eigenen Angaben Patch-Informationen zu Android 4.1.1 an seine Partner verschickt.

Nutzer dieser Android-Version sollten wenn möglich auf eine höhere Version umsteigen – etwa durch Nutzung eines Custom ROM, falls der Gerätehersteller keine Updates mehr anbietet. Auf Client-Seite empfiehlt das SANS Institute allgemein „keine Panik“. Neue Passwörter „können nicht schaden“. Passwortwechsel sind vor allem für Clouddienste wie E-Mail und Social Networks anzuraten, sofern diese inzwischen die Lücke gepatcht und neue Zertifikate erstellt haben.

[mit Material von Larry Dignan, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Google, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Google: Nutzer von Compute Engine sollten neue SSL-Zertifikate generieren

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *