Google: Nutzer von Compute Engine sollten neue SSL-Zertifikate generieren

Google hat Kunden, die seine Compute Engine nutzen, informiert, dass sie neue Schlüssel für Dienste generieren sollten, die OpenSSL nutzen. Das steht in einem heute aktualisierten Blogeintrag über die OpenSSL-Sicherheitslücke Heartbleed. Als Grund nennt Google unspezifizierte „neue Erkenntnisse“. Für die Google Search Appliance wird immer noch an Patches gearbeitet.

Der Blogeintrag von Matthew O’Connor stammt ursprünglich vom 9. April. Er meldete, dass Google prompt auf Hertbleed reagiert und eine Reihe Dienste gepatcht hatte: Suche, Gmail, YouTube, Wallet, Play, Apps, App Engine, AdWords, DoubleClick, Maps, Maps Engine, Earth, Analytics und Tag Manager. Am 12. April gab es ein Update, das Fixes für Google AdWords, DoubleClick, Maps, Maps Engine und Earth meldete.

Die heutige Ergänzung weist auch darauf hin, dass für die Google Search Appliance neue Schlüssel generiert werden sollten, sobald ein Patch vorliegt. Dies ist allerdings weiter nicht der Fall.

Die Heartbleed-Lücke CVE-2014-0160 steckt in OpenSSL 1.01 und 1.02 beta. Dieses Programm kommt vor allem auf Web- und E-Mail-Servern, in VPN-Systemen und auch in bestimmten Client-Anwendungen zum Einsatz.

In Googles Fall ist auch Android 4.1.1 betroffen, Google zufolge jedoch keine andere Android-Variante. Google hat nach eigenen Angaben Patch-Informationen zu Android 4.1.1 an seine Partner verschickt.

Nutzer dieser Android-Version sollten wenn möglich auf eine höhere Version umsteigen – etwa durch Nutzung eines Custom ROM, falls der Gerätehersteller keine Updates mehr anbietet. Auf Client-Seite empfiehlt das SANS Institute allgemein „keine Panik“. Neue Passwörter „können nicht schaden“. Passwortwechsel sind vor allem für Clouddienste wie E-Mail und Social Networks anzuraten, sofern diese inzwischen die Lücke gepatcht und neue Zertifikate erstellt haben.

[mit Material von Larry Dignan, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.