NPO Hosting en Streaming

This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong.
~~META:
title = C2019D21: Software updates november 2019
~~
{{htmlmetatags>
metatag-keywords=(software update)
metatag-og:title=(Software updates november 2019)
metatag-og:description=(
	In de periode van 11--14 november worden er software updates in de
	NPO hosting omgeving uitgevoerd. Het betreft
	keepalived,
	nginx, php, ruby, python, node, java, yarn, tomcat,
	mysql-connector-java,
	elasticsearch,
	grafana, keycloak,
	mongodb, redis, mysql,
	ImageMagick, Image-ExifTool,
	dovecot, syslog-ng, openssh,
	bind en unbound.

	Verder zijn er mededelingen m.b.t. redis, de aanstaande End-Of-Life
	voor PHP-5.6 en PHP-7.1 en 31 december als End-Of-Life moment voor
	een aantal andere componenten.
	)
}}
====== C2019D21: Software updates november 2019 ======
===== Aankondigingen ======
==== Aankondiging: Software onderhoud hosting omgeving ====
Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].)

Wij vragen aandacht voor het volgende:
  - Redis-4 naar Redis-5 upgrade
  - PHP-5.6 en PHP-7.1: Het einde is nabij!
  - End-Of-Life moment 31 december 2019
  - Reguliere software updates

=== Redis-4 naar Redis-5 upgrade ===
Omdat Redis-4 eind 2019 [[:eol-kalender#redis|End-of-Life]] is worden
alle Redis-4 instanties ge-upgrade naar Redis-5. Beide versies zijn
compatibel met elkaar, we verwachten hier geen problemen bij.

=== PHP-5.6 en PHP-7.1: Het einde is nabij! ===
Het eind voor zowel PHP-5.6 als voor PHP-7.1 zit er nu toch echt aan
te komen. De lijn die gevolgd wordt is: "PHP-5.6 gaat uit, PHP-7.1
wordt omgezet naar PHP-7.2". Het tijdschema daarvoor is als volgt:
^ datum ^ actie ^
| maandag 11 november 2019 | De laatste PHP-7.1 instanties in de **test** omgeving worden ge-upgrade naar PHP-7.2, zodat getest kan worden of software compatibel is. |
| zondag 1 december 2019 | **End-of-life moment voor PHP-7.1** |
| maandag 2 december 2019 | de laatste nog resterende PHP-7.1 sites in de **productie** omgeving worden omgezet naar PHP-7.2 |
| maandag 16 december 2019 | de laatste nog resterende PHP-5.6 sites in de **test** omgeving worden uitgezet |
| dinsdag 31 december 2019 | **En-of-life moment voor PHP-5.6** |
| maandag 6 januari 2020 | de laatste nog resterende PHP-5.6 sites in de **productie** omgeving worden uitgezet |

Het is dus van belang om:
  * **voor** maandag 2 december 2019 er zeker van te zijn dat eventuele PHP-7.1 sites het ook doen onder PHP-7.2, en
  * **voor** maandag 6 januari 2020 de migratie van PHP-5.6 naar PHP-7 afgerond te hebben.

Omdat PHP-5.6 al sinds 1 januari 2019 niet meer onderhouden wordt door
de PHP developers kan zich een situatie voordoen dat er tussen nu en het
uitzet-moment een kritiek beveiligingsprobleem aan het licht komt.
Dat was
[[https://thehackernews.com/2019/10/nginx-php-fpm-hacking.html|recent]]
al het geval, toen konden we er nog omheen werken.
Mocht het nog een keer voorkomen, dan zullen we passende maatregelen
nemen. Te denken valt aan het extra afschermen van de getroffen sites.

=== End-Of-Life moment 31 december 2019 ===
**Let op**: het is nog maar **8** weken tot 31 december!

Zoals in de [[:eol-kalender#in_de_toekomst_uit_te_faseren|EOL kalender]] te lezen
valt is 31 december 2019 een vrij kritiek moment. Na die datum
kan er geen gebruik meer gemaakt worden van de volgende verouderde
software componenten:
  * PHP-5.6: Er draaien nog diverse sites op deze versie. Alle gebruikers zijn aangeschreven.
  * Python-2.7: Op de upload servers draaien python scripts die van deze versie gebruik maken.
  * Node.js-8: Op de upload servers draaien scripts die van deze versie gebruik maken.
  * Redis-4: Deze ronde zetten we een upgrade naar Redis-5 in gang.
  * Elasticsearch-5.6: Er draaien nog 2 omgevingen op deze versies. De gebruikers hiervan zijn op de hoogte.

=== Reguliere software updates ===
In de periode van 11 tot 14 november worden de
volgende updates doorgevoerd:

/* Dingen die deze ronde niet meedoen zijn uit ge-comment */
^ wat			^ van		^ naar		^ changelog ^
|keepalived		|2.0.18		|2.0.19		|[[http://www.keepalived.org/changelog.html|1]]|
/*|icecast		|2.4.0-kh11	|2.4.0-kh12	|[[https://github.com/karlheyes/icecast-kh|1]] |*/
/*|flash-policy-server	|0.1		|0.1		|[[http://www.ogre.com/node/134|1]]	|*/
/*|apache		|2.4.39		|2.4.41		|[[http://www.apache.org/dist/httpd/CHANGES_2.4.41|1]] |*/
/*|mod_smooth_streaming	|1.7.6		|1.9.5		|[[https://www.unified-streaming.com/products/unified-origin|1]] |*/
|nginx			|1.17.4		|1.17.5		|[[http://nginx.org/en/CHANGES|1]] |
|php 5.6		|5.6.40		|5.6.40		|((updates op onderliggende componenten))	|
|php 7.1		|7.1.33		|7.1.33		|((updates op onderliggende componenten))	|
|php 7.2		|7.2.24		|7.2.24		|((updates op onderliggende componenten))	|
|php 7.3		|7.3.11		|7.3.11		|((updates op onderliggende componenten))	|
/*|passenger 6		|6.0.2		|6.0.4		|[[https://github.com/phusion/passenger/blob/stable-6.0/CHANGELOG|1]] |*/
|ruby 2.4		|2.4.7		|2.4.9		|[[https://www.ruby-lang.org/en/news/2019/10/01/ruby-2-4-8-released/|1]] [[https://www.ruby-lang.org/en/news/2019/10/02/ruby-2-4-9-released/|2]] |
|ruby 2.6		|2.6.4		|2.6.5		|[[https://www.ruby-lang.org/en/news/2019/10/01/ruby-2-6-5-released/|1]] |
|python			|2.7.16		|2.7.17		|[[https://www.python.org/downloads/release/python-2717/|1]]	|
|python			|3.7.4		|3.8.0		|[[https://docs.python.org/3.8/whatsnew/changelog.html|1]] |
|node			|8.16.1		|8.16.2		|[[https://github.com/nodejs/node/blob/master/doc/changelogs/CHANGELOG_V8.md|1]]	|
|node			|10.16.3	|10.17.0	|[[https://github.com/nodejs/node/blob/master/doc/changelogs/CHANGELOG_V10.md|1]]	|
|yarn			|1.19.0		|1.19.1		|[[https://github.com/yarnpkg/yarn/blob/master/CHANGELOG.md|1]]|
/*|perl			|5.30.0		|5.30.0		|[[https://perldoc.perl.org/index-history.html|1]]	|*/
|OpenJDK8U-jre		|8u222b10 	|8u232b09	|[[https://adoptopenjdk.net/release_notes.html|1]]	|
|OpenJDK11U-jre		|11.0.4_11	|11.0.5_10 	|[[https://adoptopenjdk.net/release_notes.html|1]]	|
|OpenJDK11U-jdk		|11.0.4_11	|11.0.5_10 	|[[https://adoptopenjdk.net/release_notes.html|1]]	|
|tomcat 8		|8.5.46		|8.5.47		|[[https://tomcat.apache.org/tomcat-8.5-doc/changelog.html|1]] |
|tomcat 9		|9.0.26		|9.0.27		|[[https://tomcat.apache.org/tomcat-9.0-doc/RELEASE-NOTES.txt|1]] |
|mysql-connector-java	|8.0.17		|8.0.18		|[[https://dev.mysql.com/doc/relnotes/connector-j/8.0/en/|1]] |
/*|mysql-connector-java5	|5.1.47		|5.1.48		|[[https://dev.mysql.com/doc/relnotes/connector-j/5.1/en/|1]] |*/
|newrelic-java		|5.7.0		|5.8.0		|[[https://docs.newrelic.com/docs/agents/java-agent|1]]	|
/*|tomcat-native		|1.2.21		|1.2.23		|[[http://tomcat.apache.org/native-doc/miscellaneous/changelog.html|1]] |*/
|ActiveMQ		|5.15.9		|5.15.10	|[[http://activemq.apache.org/activemq-51510-release.html|1]] |
/*|Graylog		|3.1.0		|3.1.2		|[[http://docs.graylog.org/en/3.1/pages/changelog.html|1]] |*/
/*|Elastic Search 5.x	|5.6.15		|5.6.16		|[[https://www.elastic.co/guide/en/elasticsearch/reference/5.6/es-release-notes.html|1]] |*/
|Elastic Search 6.x	|6.8.3		|6.8.4		|[[https://www.elastic.co/guide/en/elasticsearch/reference/6.8/es-release-notes.html|1]] |
|Elastic Search 7.x	|7.3.2		|7.4.1		|[[https://www.elastic.co/guide/en/elasticsearch/reference/7.3/es-release-notes.html|1]] |
|grafana		|6.4.1		|6.4.3		|[[https://github.com/grafana/grafana/blob/master/CHANGELOG.md|1]] |
|keycloak		|7.0.0		|7.0.1		|[[https://www.keycloak.org/docs/latest/release_notes/index.html|1]] |
/*|fcron		|3.2.1		|3.2.1		|[[http://fcron.free.fr/doc/en/changes.html|1]] |*/
/*|influxdb		|1.7.7		|1.7.8		|[[https://docs.influxdata.com/influxdb/v1.7/about_the_project/releasenotes-changelog/|1]] |*/
/*|memcached		|1.5.17		|1.5.19		|[[https://github.com/memcached/memcached/wiki/ReleaseNotes1519|1]] |*/
|mongodb		|4.2.0		|4.2.1		|[[https://docs.mongodb.com/manual/release-notes/4.2/|1]] |
/*|redis		|4.0.12		|4.0.14		|[[https://raw.githubusercontent.com/antirez/redis/4.0/00-RELEASENOTES|1]] |*/
/*|redis			|5.0.4		|5.0.5		|[[https://raw.githubusercontent.com/antirez/redis/5.0/00-RELEASENOTES|1]] |*/
|redis			|4.0.14		|5.0.5		|[[https://raw.githubusercontent.com/antirez/redis/5.0/00-RELEASENOTES|1]] |
/*|mariadb 		|10.2.25	|10.2.27	|[[https://mariadb.com/kb/en/library/mariadb-10227-release-notes/|1]] |*/
|mysql			|5.7.27		|5.7.28		|[[https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-27.html|1]] |
/*|postgresql 9.4		|9.4.23		|9.4.24		|[[https://www.postgresql.org/docs/9.4/static/release.html|1]]|*/
/*|postgresql 9.6		|9.6.14		|9.6.15		|[[https://www.postgresql.org/docs/9.6/static/release.html|1]]|*/
/*|openldap		|2.4.13		|2.4.48		|[[https://www.openldap.org/software/release/changes.html|1]] |*/
|ImageMagick 		|7.0.8-66	|7.0.9-1	|[[https://www.imagemagick.org/script/changelog.php|1]] |
/*|curl			|7.65.3		|7.66.0		|[[https://curl.haxx.se/changes.html|1]] |*/
/*|goaccess		|-		|1.3		|[[https://goaccess.io/release-notes|1]] |*/
/*|gzip			|-		|1.10		|[[https://www.gnu.org/software/gzip/|1]] |*/
|Image-ExifTool		|11.65		|11.74		|[[https://sourceforge.net/projects/exiftool/|1]] |
/*|ffmpeg			|4.2		|4.2.1		|[[https://www.ffmpeg.org/download.html#releases|1]] |*/
/*|gearmand		|1.1.11	|1.1.188	|[[https://github.com/gearman/gearmand/releases|1]] |*/
/*|GeoIP			|1.6.12		|1.6.12		| | */
/*|geoipupdate		|2.5.0		|4.0.2		|[[https://github.com/maxmind/geoipupdate/blob/master/CHANGELOG.md|1]] |*/
|dovecot		|2.3.7.2	|2.3.8		|[[https://www.dovecot.org/|1]] |
|syslog-ng		|3.23.1		|3.24.1		|[[https://github.com/balabit/syslog-ng/blob/master/NEWS.md|1]]	|
|openssh		|8.0p1		|8.1p1		|[[https://www.openssh.com/releasenotes.html|1]] |
/*|chrony			|3.4		|3.5		|[[https://chrony.tuxfamily.org/news.html|1]] |*/
/*|postfix		|3.4.6		|3.4.7		|[[http://www.postfix.org/announcements/postfix-3.4.7.html|1]] |*/
|bind			|9.11.11	|9.11.12	|[[https://ftp.isc.org/isc/bind9/9.11.12/CHANGES|1]] |
|unbound		|1.9.3		|1.9.4		|[[http://www.unbound.net/download.html|1]]	|
/*|dhcp			|4.4.1		|4.4.1		|[[https://ftp.isc.org/isc/dhcp/4.4.1/dhcp-4.4.1-RELNOTES|1]] |*/
/*|freeipmi		|1.6.3		|1.6.4		|[[https://www.gnu.org/software/freeipmi/NEWS|1]] |*/

De updates worden voor 4 november op het testcluster doorgevoerd,
zodat er gelegenheid is om de nieuwe versies te testen.

Het schema voor de productie clusters is als volgt:
/* Dingen die deze ronde niet meedoen zijn uit ge-comment */
^ wat ^ actie ^ impact ^ wanneer ^
|redis		|herstart databases		|1 korte onderbreking naar de database instanties	|11 november 8:00 -- 12:00	|
|mongodb	|herstart databases		|1 korte onderbreking naar de database instanties	|11 november 8:00 -- 12:00	|
/*|apache		|herstart webservers		|geen						|12 november 8:00 -- 12:00	|*/
/*|mod_smooth_streaming	|herstart origins	|encoding sessies worden herstart			|12 november 8:00 -- 12:00	|*/
|nginx		|herstart webservers		|geen							|12 november 8:00 -- 12:00	|
|php		|herstart applicatieservers	|geen 							|12 november 8:00 -- 12:00	|
/*|passenger	|herstart Ruby-on-Rails applicaties	|geen						|12 november 8:00 -- 12:00	|*/
|ruby		|herstart Ruby-on-Rails applicaties	|geen						|12 november 8:00 -- 12:00	|
|node-js	|nieuwe versie wordt actief	|geen							|12 november 8:00 -- 12:00	|
|python		|nieuwe versie wordt actief	|geen							|12 november 8:00 -- 12:00	|
/*|perl		|herstart applicatieservers	|geen							|12 november 8:00 -- 12:00	|*/
/*|memcached	|herstart Memcached instanties	|memory caches worden gecleared				|12 november 8:00 -- 12:00	|*/
/*|gearmand	|herstart gearman servers	|bestaande verbindingen worden verbroken		|12 november 8:00 -- 12:00	|*/
|ImageMagick	|nieuwe versie wordt actief	|geen							|12 november 8:00 -- 12:00	|
|Image-ExifTool	|nieuwe versie wordt actief	|geen							|12 november 8:00 -- 12:00	|
/*|curl		|nieuwe versie wordt actief	|geen							|12 november 8:00 -- 12:00	|*/
|yarn		|nieuwe versie wordt actief	|geen							|12 november 8:00 -- 12:00	|
/*|ffmpeg		|nieuwe versie wordt actief	|geen						|12 november 8:00 -- 12:00	|*/
/*|goaccess	|nieuwe versie wordt actief	|geen							|12 november 8:00 -- 12:00	|*/
/*|gzip		|nieuwe versie wordt actief	|geen							|12 november 8:00 -- 12:00	|*/
/*|geoipupdate	|nieuwe versie wordt actief	|geen							|12 november 8:00 -- 12:00	|*/
/*|freeipmi	|nieuwe versie wordt actief	|geen							|12 november 8:00 -- 12:00	|*/
|openssh	|herstart openssh		|geen							|12 november 8:00 -- 12:00	|
|syslog-ng	|herstart syslog		|geen							|12 november 8:00 -- 12:00	|
/*|chrony		|herstart timeservers		|geen						|12 november 8:00 -- 12:00	|*/
/*|postfix	|herstart mailservers		|geen							|12 november 8:00 -- 12:00	|*/
|dovecot	|herstart imapservers		|geen							|12 november 8:00 -- 12:00	|*/
|bind		|herstart nameservers		|geen							|12 november 8:00 -- 12:00	|
|unbound	|herstart dns-resolvers		|geen							|12 november 8:00 -- 12:00	|
|grafana	|herstart grafana applicatieserver|geen							|12 november 8:00 -- 12:00	|
|jvm		|herstart java applicaties((activemq, graylog, grafana, keycloak, tomcat))	|ongeveer 1-5 min downtime per instantie		|13 november 1:00 -- 6:00 	|
|tomcat		|herstart java			|ongeveer 1-5 min downtime per instantie		|13 november 1:00 -- 6:00 	|
|mysql-connector-java	|herstart java		|ongeveer 1-5 min downtime per instantie		|13 november 1:00 -- 6:00 	|
/*|mysql-connector-java5	|herstart java		|ongeveer 1-5 min downtime per instantie		|13 november 1:00 -- 6:00 	|*/
|newrelic-java	|herstart java			|ongeveer 1-5 min downtime per instantie		|13 november 1:00 -- 6:00 	|
/*|graylog	|herstart java			|1 korte onderbreking naar de Graylog instanties	|13 november 1:00 -- 6:00 	|*/
|keycloak	|herstart java			|1 korte onderbreking naar de Keycloak instanties	|13 november 1:00 -- 6:00 	|
|ActiveMQ	|herstart java			|1 korte onderbreking naar de ActiveMQ instanties	|13 november 1:00 -- 6:00 	|
/*|mariadb	|herstart databases		|2 korte onderbrekingen naar de database instanties	|13 november 1:00 -- 6:00	|*/
|mysql		|herstart databases		|2 korte onderbrekingen naar de database instanties	|13 november 1:00 -- 6:00	|
/*|postgresql	|herstart databases		|1 korte onderbreking naar de database instanties	|13 november 1:00 -- 6:00	|*/
/*|influxdb	|herstart databases		|1 korte onderbreking naar de database instanties	|13 november 1:00 -- 6:00	|*/
/*|openldap	|export/import databases	|ongeveer 1 min downtime per instantie			|13 november 1:00 -- 6:00	|*/
|Elastic Search	|herstart java			|geen							|11--13 november 8:00 -- 17:00	|
|keepalived	|herstart loadbalancers		|geen							|11--13 november 8:00 -- 17:00	|
/*|icecast	|herstart streamservers		|geen							|11--13 november 8:00 -- 17:00	|*/
/*|flash-policy-server	|herstart flash policy servers	|geen						|11--13 november 8:00 -- 17:00	|*/