Google hat Kunden, die seine Compute Engine nutzen, informiert, dass sie neue Schl�ssel f�r Dienste generieren sollten, die OpenSSL nutzen. Das steht in einem heute aktualisierten Blogeintrag �ber die OpenSSL-Sicherheitsl�cke Heartbleed. Als Grund nennt Google unspezifizierte ?neue Erkenntnisse?. F�r die Google Search Appliance wird immer noch an Patches gearbeitet.
Der Blogeintrag von Matthew O?Connor stammt urspr�nglich vom 9. April. Er meldete, dass Google prompt auf Hertbleed reagiert und eine Reihe Dienste gepatcht hatte: Suche, Gmail, YouTube, Wallet, Play, Apps, App Engine, AdWords, DoubleClick, Maps, Maps Engine, Earth, Analytics und Tag Manager. Am 12. April gab es ein Update, das Fixes f�r Google AdWords, DoubleClick, Maps, Maps Engine und Earth meldete.
Die heutige Erg�nzung weist auch darauf hin, dass f�r die Google Search Appliance neue Schl�ssel generiert werden sollten, sobald ein Patch vorliegt. Dies ist allerdings weiter nicht der Fall.
Die Heartbleed-L�cke CVE-2014-0160 steckt in OpenSSL 1.01 und 1.02 beta. Dieses Programm kommt vor allem auf Web- und E-Mail-Servern, in VPN-Systemen und auch in bestimmten Client-Anwendungen zum Einsatz.
In Googles Fall ist auch Android 4.1.1 betroffen, Google zufolge jedoch keine andere Android-Variante. Google hat nach eigenen Angaben Patch-Informationen zu Android 4.1.1 an seine Partner verschickt.
Nutzer dieser Android-Version sollten wenn m�glich auf eine h�here Version umsteigen ? etwa durch Nutzung eines Custom ROM, falls der Ger�tehersteller keine Updates mehr anbietet. Auf Client-Seite empfiehlt das SANS Institute allgemein ?keine Panik?. Neue Passw�rter ?k�nnen nicht schaden?. Passwortwechsel sind vor allem f�r Clouddienste wie E-Mail und Social Networks anzuraten, sofern diese inzwischen die L�cke gepatcht und neue Zertifikate erstellt haben.
[mit Material von Larry Dignan, ZDNet.com]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen ? mit 15 Fragen bei ITespresso.
Keine Kommentare:
Kommentar veröffentlichen