https://www.heise.de/imgs/18/2/7/9/7/7/4/5/meteor-3129573_1280-71c77b0b1241d746.png
(Bild: pixabay (Collage))

Y2K-Bug-Variante trifft Splunk-Produkte – Lösungen verfügbar

Splunk-Admins sollten sich vor dem Jahreswechsel dringend mit einem "Jahr-2020-Problem" in der Software auseinandersetzen. Updates stehen bereit.

by

Instanzen der Plattform Splunk droht zum 1. Januar 2020 eine Art verspätetes Y2K-Problem: Sie können Zeitstempel, in denen eine zweistellige Jahresangabe vorkommt, nicht mehr korrekt erkennen, so dass es zum Hinzufügen falscher Stempel kommen kann. Des Weiteren werden ab dem 13. September 2020 um 12:26:39 PM (UTC) Unix-Zeitstempel aufgrund fehlerhaften Parsens grundsätzlich nicht mehr erkannt.

Auf dieses kritische Problem weist ein Beitrag auf der Website des Log-, Monitoring- und Reporting-Werkzeugs Splunk hin. Ihm ist auch zu entnehmen, dass es einen Fix gibt, der den Problemen vorbeugt. Splunk-Cloud-Kunden erhalten ihn automatisch. Admins der anderen im Beitrag genannten Plattformen sollten dringend daran denken, die Aktualisierung rechtzeitig vorzunehmen – vor allem auch deshalb, weil eine bereits erfolgte fehlerhafte Zeitstempel-Vergabe laut Splunk im Nachhinein nicht korrigierbar ist.

Ursache des Problems sind reguläre Ausdrücke in der Datei datetime.xml, die Splunks Eingabeprozessor bei der Zeitstempel-Bestimmung hilft. Die betreffenden regulären Ausdrücke extrahieren aus Jahreszahlen die letzten zwei Stellen, wurden aber offenbar so gewählt, dass dies nur bis zum 31.12.2019 korrekt funktioniert.

Betroffene Plattformen und Versionen

Der Bug steckt laut Sicherheitshinweis in den folgenden Arten von Splunk-Instanzen:

Je nach Konfiguration können auch Universal forwarders betroffen sein; Details dazu sind dem Abschnitt "Impact" des Hinweises auf der Splunk-Site zu entnehmen.

https://www.heise.de/imgs/18/2/7/9/7/7/4/5/Screenshot__372_-420097f67d41d99e.png
Das Splunk-Team hat die abgesicherten Versionen in einer Tabelle zusammengefasst.(Bild: docs.splunk.com)

Vier Lösungswege verfügbar

Die Splunk-Entwickler nennen die folgenden möglichen Vorgehensweisen, um das Problem in den Griff zu bekommen:

In allen vier Fällen ist es ratsam, den jeweiligen Abschnitt im Sicherheitshinweis sorgfältig zu lesen und den dortigen Anweisungen zu folgen.

Update 29.11.19, 18:03: Bug-Beschreibung überarbeitet. (ovw)