Y2K-Bug-Variante trifft Splunk-Produkte – Lösungen verfügbar
Splunk-Admins sollten sich vor dem Jahreswechsel dringend mit einem "Jahr-2020-Problem" in der Software auseinandersetzen. Updates stehen bereit.
by Olivia von WesternhagenInstanzen der Plattform Splunk droht zum 1. Januar 2020 eine Art verspätetes Y2K-Problem: Sie können Zeitstempel, in denen eine zweistellige Jahresangabe vorkommt, nicht mehr korrekt erkennen, so dass es zum Hinzufügen falscher Stempel kommen kann. Des Weiteren werden ab dem 13. September 2020 um 12:26:39 PM (UTC) Unix-Zeitstempel aufgrund fehlerhaften Parsens grundsätzlich nicht mehr erkannt.
Auf dieses kritische Problem weist ein Beitrag auf der Website des Log-, Monitoring- und Reporting-Werkzeugs Splunk hin. Ihm ist auch zu entnehmen, dass es einen Fix gibt, der den Problemen vorbeugt. Splunk-Cloud-Kunden erhalten ihn automatisch. Admins der anderen im Beitrag genannten Plattformen sollten dringend daran denken, die Aktualisierung rechtzeitig vorzunehmen – vor allem auch deshalb, weil eine bereits erfolgte fehlerhafte Zeitstempel-Vergabe laut Splunk im Nachhinein nicht korrigierbar ist.
Ursache des Problems sind reguläre Ausdrücke in der Datei datetime.xml, die Splunks Eingabeprozessor bei der Zeitstempel-Bestimmung hilft. Die betreffenden regulären Ausdrücke extrahieren aus Jahreszahlen die letzten zwei Stellen, wurden aber offenbar so gewählt, dass dies nur bis zum 31.12.2019 korrekt funktioniert.
Betroffene Plattformen und Versionen
Der Bug steckt laut Sicherheitshinweis in den folgenden Arten von Splunk-Instanzen:
- Splunk Cloud (automatischer Fix; Splunk-Support informiert über den Zeitpunkt)
- Splunk Light
Splunk Enterprise:
• Indexers (egal ob geclustert oder nicht)
• Heavy forwarders
• Search heads (egal ob geclustert oder nicht)
• Search head deployers
• Deployment servers
• Cluster masters
• License masters
Je nach Konfiguration können auch Universal forwarders betroffen sein; Details dazu sind dem Abschnitt "Impact" des Hinweises auf der Splunk-Site zu entnehmen.
Vier Lösungswege verfügbar
Die Splunk-Entwickler nennen die folgenden möglichen Vorgehensweisen, um das Problem in den Griff zu bekommen:
- Den Download einer von Splunk bereitgestellten App, die die kaputte datetime.xml vorübergehend durch eine korrigierte Version ersetzt. Zum Deployment muss zwar nicht die komplette Plattform gestoppt werden, allerdings ist ein Neustart der einzelnen Instanzen notwendig. Hierbei handelt es sich ausdrücklich nur um eine temporäre Lösung für umfangreiche Infrastrukturen.
- Den Download einer aktualisierten datetime.xml sowie das anschließende Ersetzen der Dateien auf allen Instanzen.
- Ein Upgrade aller Instanzen auf die vom Splunk-Team veröffentlichten neuen Versionen samt gefixter datetime.xml.
- Das manuelle Modifizieren der XML-Dateien aller Instanzen (siehe Anleitung im Sicherheitshinweis).
In allen vier Fällen ist es ratsam, den jeweiligen Abschnitt im Sicherheitshinweis sorgfältig zu lesen und den dortigen Anweisungen zu folgen.
Update 29.11.19, 18:03: Bug-Beschreibung überarbeitet. (ovw)