NPO Hosting en Streaming

This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong.
~~META:
title = C2019D03: Software updates januari 2019
~~
{{htmlmetatags>
metatag-keywords=(software update)
metatag-og:title=(Software updates januari 2019)
metatag-og:description=(
	In de periode van 21--24 januari worden er software updates in de
	NPO hosting omgeving uitgevoerd. Het betreft keepalived, icecast,
	apache, nginx, php, passenger, python, java, tomcat, elasticsearch,
	mariadb, redis, ffmpeg, ImageMagick, syslog, bind en unbound.

	Omdat oracle per 1 januari 2018 gestopt is met het supporten van
	java 1.8 stappen we over op de AdoptOpenJDK versie van Java.

	Daarnaast worden de TLS-1.0 en TLS-1.1 protocollen in https
	sites uitgezet.

	Vanaf januari 2019 is er geen support meer voor php-5.6. Versie
	5.3 is al sinds juni 2014 niet meer gesupport.
	We houden op 31 maart 2019 op met het aanbieden van php-5.3 en willen
	medio 2019 ophouden met het aanbieden van php-5.6 op het hosting platform.
	)
}}
====== C2019D03: Software updates januari 2019 ======
==== Aankondigingen ======
===== Aankondiging: Software onderhoud hosting omgeving =====
Beste Klant / collega

(Is dit bericht niet goed leesbaar? Bekijk dan [[|hier]] de online versie.)

Bij deze vragen we aandacht voor het volgende:

In verband met verhoogde veiligheidseisen zijn wij bezig om alle
software die gebruikt wordt op het webhosting platform te upgraden naar
een versie die ondersteund wordt. Hiermee wordt het risico op hacks
en/of datalekken teruggedrongen. Bij elke upgrade-ronde pakken we een
software-component en proberen dat up-to-date te krijgen. Omdat het om
vrij veel software-componenten gaat pikken we er elke maand een aantal
uit, die bijzondere aandacht krijgen.

Deze ronde is het de beurt aan ffmpeg, keepalived, icecast en redis.
Dat betekent dat we vanaf nu ook aan gebruikers hiervan gaan vragen om
deze berichten in de gaten te houden en waar nodig actiever te testen.
Omdat er nu een aantal ffmpeg en redis versies gebruikt worden die niet
meer gesupport zijn zullen we deze upgraden naar wel gesupporte versies.
Wij verwachten dat ffmpeg en redis voldoende backwards compatible zijn,
maar het kan geen kwaad om deze ronde even goed te testen.

In de vorige upgrade ronde hebben we aandacht gevraagd voor Ruby en
Elastic Search upgrades. Dit duurt helaas langer dan verwacht, daarom
vragen we om nog even geduld tot we hierover contact op zullen nemen.

Verder willen we aandacht vragen voor de volgende end-of-life momenten:
^ component ^ major versie ^ end of life datum ^
| php | 5.6 | **[[http://php.net/supported-versions.php|31 dec 2018]]** |
| ruby | 2.3 | [[https://www.ruby-lang.org/en/downloads/branches/|31 maart 2019]] |
| oracle java | 1.8 | **[[https://www.oracle.com/technetwork/java/javase/overview/index.html|1 januari 2019]]** |
| python | 2.7 | [[https://pythonclock.org/|1 januari 2020]] |

Zoals
[[:aankondigingen:2018:c2018d18-software-updates-201812#rectificatie_en_aankondiging_end-of-life_php-53_php-56|eerder]]
aangekondigd zullen we per 31 maart ophouden met het aanbieden van
php-5.3 en willen we medio 2019 ophouden met het aanbieden van php-5.6;
we sporen alle php-5 gebruikers aan om werk te maken van de migratie
naar php-7.

Ook java-1.8 is inmiddels end-of-life.  Om dit jaar toch nog Java-1.8 aan te kunnen bieden
[[c2019d01-uitfaseren-java-8#aankondigingjava_gebruik_in_de_hosting_omgeving_na_januari_2019_ivm_eol_oracle_java_18|stappen we over]] van
de oracle variant naar AdoptOpenJDK.
Dat gebeurt deels in deze update ronde, alle java instanties in de testomgeving gaan nu over naar AdoptOpenJDK.
In de upgrade ronde van februari volgen de productie omgevingen.
Daarnaast beginnen we deze ronde met het aanbieden van Java-11.

Verder [[c2019d02-uitfaseren-tls-1-0|loopt er een proces]] om TLS1.0 en
TLS1.1 uit te faseren. Daar is maandag 7 januari de eerste stap in
gedaan (uitzetten in de testomgeving). Op 14 januari zal dit ook op de
productieomgevingen worden uitgezet.

Naast de major upgrades zijn er ook de minor updates. In de periode van
21--24 januari
zullen we onderstaande updates doorvoeren:

/* Dingen die deze ronde niet meedoen zijn uit ge-comment */
^ wat		^ van		^ naar		^ changelog ^
| keepalived	| 1.2.15	| 2.0.11	| [[http://www.keepalived.org/changelog.html|1]]|
| icecast	| 2.4.0-kh8	| 2.4.0-kh10	| [[https://github.com/karlheyes/icecast-kh|1]] |
| apache	| 2.4.37	| 2.4.37	| TLS1.3 support toegevoegd |
| nginx		| 1.15.7	| 1.15.8	| [[http://nginx.org/en/CHANGES|1]] |
| php 5.6	| 5.6.38	| 5.6.40	| [[http://nl1.php.net/ChangeLog-5.php#5.6.39|1]] [[http://nl1.php.net/ChangeLog-5.php#5.6.40|2]] |
| php 7.1	| 7.1.24	| 7.1.26	| [[http://php.net/ChangeLog-7.php#7.1.25|1]] [[http://php.net/ChangeLog-7.php#7.1.26|2]] |
| php 7.2	| 7.2.12	| 7.2.14	| [[http://php.net/ChangeLog-7.php#7.2.13|1]] [[http://php.net/ChangeLog-7.php#7.2.14|2]] |
| passenger 5	| 5.3.6		| 5.3.7		| [[https://github.com/phusion/passenger/blob/stable-5.3/CHANGELOG|1]] |
| ruby 2.2	| 2.2.4		| 2.2.10	| [[https://www.ruby-lang.org/en/news/2018/03/28/ruby-2-2-10-released/|1]]|
| ruby 2.3	| 2.3.4		| 2.3.8		| [[https://www.ruby-lang.org/en/news/2018/10/17/ruby-2-3-8-released/|1]] |
/*| ruby 2.4	| 2.4.4		| 2.4.5		| [[https://www.ruby-lang.org/en/news/2018/10/17/ruby-2-4-5-released/|1]] |*/
| python	| 3.6.7		| 3.6.8		| [[https://www.python.org/downloads/release/python-368/|1]] |
/*| python	| 2.7.14	| 2.7.15	| [[https://www.python.org/downloads/release/python-2715/|1]] |*/
| java 1.8	| 1.8.0_192	| 8u192b12	| In test over naar AdoptOpenJDK versie |
| java 11	| -		| 11.0.1_13	| Nieuw toegevoegd |
/*| tomcat 6	| 6.0.35	| 6.0.53	| [[http://tomcat.apache.org/tomcat-6.0-doc/changelog.html|1]] |*/
| tomcat 8	| 8.5.35	| 8.5.37	| [[https://tomcat.apache.org/tomcat-8.5-doc/changelog.html|1]] |
/*| ActiveMQ	| 5.15.4	| 5.15.8	| [[http://activemq.apache.org/activemq-5158-release.html|1]] |*/
/*| Elastic Search 5.5 | 5.5.2	| 5.5.3		| [[https://www.elastic.co/downloads/past-releases/elasticsearch-5-5-3|1]] |*/
| Elastic Search 5.6 | 5.6.8	| 5.6.14	| [[https://www.elastic.co/downloads/past-releases/elasticsearch-5-6-14|1]] |
/*| Elastic Search 6.1 | 6.1.3	| 6.1.4		| [[https://www.elastic.co/downloads/past-releases/elasticsearch-6-1-4|1]] |*/
| Elastic Search 6.5 | 6.5.3	| 6.5.4		| [[https://www.elastic.co/guide/en/elasticsearch/reference/6.5/release-notes-6.5.4.html|1]] |
/*| memcached	| 1.5.11	| 1.5.12	| [[https://github.com/memcached/memcached/wiki/ReleaseNotes1512|1]] |*/
| redis		| 2.x,3.x,4.x	| 4.0.12	| [[https://raw.githubusercontent.com/antirez/redis/4.0/00-RELEASENOTES|1]] |
| redis		| -		| 5.0.3		| [[https://raw.githubusercontent.com/antirez/redis/5.0/00-RELEASENOTES|1]] |
/*| mariadb 10.1	| 10.1.36	| 10.1.37	| [[https://mariadb.com/kb/en/library/mariadb-10137-release-notes/|1]] |*/
| mariadb 10.2	| 10.2.19	| 10.2.21	| [[https://mariadb.com/kb/en/library/mariadb-10220-release-notes/|1]] [[https://mariadb.com/kb/en/library/mariadb-10221-release-notes/|2]] |
/*| mysql		| 5.7.23	| 5.7.24	| [[https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-24.html|1]] |*/
/*| postgresql 9.4| 9.4.19	| 9.4.20	| [[https://www.postgresql.org/docs/9.4/static/release.html|1]]|*/
/*| postgresql 9.6| 9.6.10	| 9.6.11	| [[https://www.postgresql.org/docs/9.6/static/release.html|1]]|*/*/
| ImageMagick 6	| 6.9.10-14	| 6.9.10-23	| [[https://legacy.imagemagick.org/script/changelog.php|1]] |
| ImageMagick 7 | 7.0.8-14	| 7.0.8-23	| [[https://www.imagemagick.org/script/changelog.php|1]] |
| curl		| 7.62.0	| 7.63.0	| [[https://curl.haxx.se/changes.html|1]] |
| ffmpeg	| 1.x,2.x	| 2.8.15	| [[https://www.ffmpeg.org/download.html#releases|1]] |
| ffmpeg	| 3.x		| 3.4.5		| [[https://www.ffmpeg.org/download.html#releases|1]] |
| ffmpeg	| 4.x		| 4.1		| [[https://www.ffmpeg.org/download.html#releases|1]] |
/*| gearmand	| 1.1.11	| 1.1.188	| [[https://github.com/gearman/gearmand/releases|1]] |*/
/*| openssh	| 7.8p1		| 7.9p1		| [[https://www.openssh.com/releasenotes.html|1]] |*/
| postfix	| 3.2.6		| 3.2.7		| [[http://www.postfix.org/announcements/postfix-3.3.2.html|1]] |
| bind		| 9.11.5	| 9.11.5-P1	| [[https://ftp.isc.org/isc/bind9/9.11.5-P1/CHANGES|1]] |
| unbound	| 1.8.1		| 1.8.3		| [[http://www.unbound.net/download.html|1]]	|

De updates worden voor 14 januari op het testcluster doorgevoerd.
zodat er gelegenheid is om de nieuwe versies te testen.

Het schema voor de productie clusters is als volgt:
/* Dingen die deze ronde niet meedoen zijn uit ge-comment */
^ wat ^ actie ^ impact ^ wanneer ^
|apache		|herstart webservers		|geen							|21 januari 8:00 -- 12:00	|
|nginx		|herstart webservers		|geen							|21 januari 8:00 -- 12:00	|
|php		|herstart applicatieservers	|geen 							|21 januari 8:00 -- 12:00	|
|passenger	|herstart Ruby-on-Rails applicaties	|geen						|21 januari 8:00 -- 12:00	|
|ruby		|herstart Ruby-on-Rails applicaties	|geen						|21 januari 8:00 -- 12:00	|
|python		|herstart applicatieservers	|geen							|21 januari 8:00 -- 12:00	|
/*|memcached	|herstart Memcached instanties	|memory caches worden gecleared				|21 januari 8:00 -- 12:00	|*/
/*|gearmand	|herstart gearman servers	|bestaande verbindingen worden verbroken		|21 januari 8:00 -- 12:00	|*/
|ImageMagick	|nieuwe versie wordt actief	|geen							|21 januari 8:00 -- 12:00	|
|curl		|nieuwe versie wordt actief	|geen							|21 januari 8:00 -- 12:00	|
|ffmpeg		|nieuwe versie wordt actief	|geen							|21 januari 8:00 -- 12:00	|
/*|openssh	|herstart openssh		|geen							|22 januari 8:00 -- 12:00	|*/
/*|postfix	|herstart mailservers		|geen							|22 januari 8:00 -- 12:00	|*/
|bind		|herstart nameservers		|geen							|22 januari 8:00 -- 12:00	|
|unbound	|herstart dns-resolvers		|geen							|22 januari 8:00 -- 12:00	|
|tomcat		|herstart java			|ongeveer 1-5 min downtime per instantie		|23 januari 1:00 -- 6:00 	|
/*|graylog	|herstart java			|1 korte onderbreking naar de Graylog instanties	|23 januari 1:00 -- 6:00 	|*/
/*|ActiveMQ	|herstart java			|1 korte onderbreking naar de ActiveMQ instanties	|23 januari 1:00 -- 6:00 	|*/
|redis		|herstart databases		|1 korte onderbreking naar de database instanties	|23 januari 1:00 -- 6:00	|
|mariadb	|herstart databases		|2 korte onderbrekingen naar de database instanties	|23 januari 1:00 -- 6:00	|
/*|mysql	|herstart databases		|2 korte onderbrekingen naar de database instanties	|23 januari 1:00 -- 6:00	|*/
/*|postgresql	|herstart databases		|1 korte onderbreking naar de database instanties	|23 januari 1:00 -- 6:00	|*/
|Elastic Search	|herstart java			|geen							|23 januari 13:00 -- 17:00	|
|keepalived	|herstart loadbalancers		|geen							|21--24 januari 13:00 -- 17:00	|
|icecast	|herstart streamservers		|geen							|21--24 januari 13:00 -- 17:00	|