aankondigingen:2020:c2020d11-software-updates-202006

C2020D11: Software updates juni 2020

Aankondiging: Software onderhoud hosting omgeving

Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)

Wij vragen aandacht voor het volgende:

  1. Spoedchanges DNS
  2. Apache frontends over naar mod_event
  3. Aangepaste extensies in PHP
  4. Git en Subversion updates
  5. Apache upload progress module update
  6. Reguliere software updates

In de afgelopen weken zijn er een aantal kwetsbaarheden in DNS software (bind en unbound) gevonden. Vanwege het spoedeisende karakter hiervan zijn die kwetsbaarheden direct gepatched in plaats van op deze reguliere software update ronde te wachten.

In de hosting omgeving worden 2 soorten webservers gebruikt, apache en nginx, beide met hun eigen voor- en nadelen. De apache webservers gebruiken intern een stukje software genaamd “mod_worker” om inkomende connecties over beschikbare CPU resources te verdelen. Deze is al heel efficient, maar de afgelopen jaren is er gewerkt aan een alternatief, genaamd “mod_event”, welke nog beter is. Na in onze omgeving geruime tijd op proef gedraaid te hebben zullen we op maandag 8 juni de software omzetten van worker naar event. Dit kan zonder impact en er zijn verder ook geen aanpassingen in bijvoorbeeld php programmatuur nodig hiervoor. Het voordeel van deze aanpassing is dat naderhand meer connecties tegelijkertijd afgehandeld kunnen worden en op die manier dus beter omgegaan kan worden met grote pieken in bezoekersaantallen.

De programmeertaal PHP bestaat uit een een kern-taal met daarnaast een groot aantal extensies waarmee de taal uitgebreid wordt om zo extra functionaliteit te bieden. De gebruikers van de pdo_mysql van de sqlite3 extensies willen we vragen om deze ronde even extra op te letten, want voor deze extensies worden nu nieuwere versies van mysql resp. sqlite3 gebruikt.

Git en Subversion zijn software versie management systemen. In de hosting omgeving worden deze vaak gebruikt om een nieuwe versie van b.v. een website te kunnen deployen door een zogeheten “checkout” te updaten. Op onze systemen stonden nog hele oude versies van zowel git als subversion. Git wordt in deze ronde ge-update naar de meest up-to-date versie. Voor Subversion doen we eerst een tussenstapje naar een versie die nog backwards compatible is met de oude versie. Op een later moment zullen we een nieuwere subversion aan gaan bieden.

In het Ruby-on-Rails landschap wordt er soms een native apache module genaamd “upload-progress-module” gebruikt. Bij de standaard updates van de afgelopen tijd was deze module nog buiten de boot gevallen. Dit wordt nu hersteld en we stappen over naar een iets nieuwere (maar nog steeds stokoude) versie die inmiddels van deze module beschikbaar is.

Het software update rooster voor de konmende tijd ziet er als volgt uit:

software update ronde gelegenheid tot testen uitrol in productie
Juni 1–5 juni 8–11 juni
Juli 29 juni–5 juli 6–9 juli
Augustus 27–31 juli 3–6 augustus

De updates worden op donderdag 28 mei op het testcluster doorgevoerd, daarna is er een week de gelegenheid om te testen. In de periode van 8–11 juni worden de updates op de productie-omgevingen doorgevoerd volgens onderstaand schema:

wat impact op van naar
freeipmi 0 D1 1.6.4 1.6.5
openssh 0 D1 8.2p1 8.3p1
dovecot 1 D1 2.3.10 2.3.10.1
mailman 1 D1 2.1.23 2.1.33
mongodb 1 D1 4.2.6 4.2.7
Graylog 1 D1 3.2.4 3.3
grafana 1 D1 6.7.3 7.0.0
apache-upload-progress-module0D1 2008 0.2
alsa-utils 0 D1 1.1.5 1.2.2
nginx 0 D2 1.19.0 1.19.0
php 7.2 0 D2 7.2.30 7.2.31
php 7.3 0 D2 7.3.17 7.3.18
php 7.4 0 D2 7.4.5 7.4.6
python 0 D2 3.8.2 3.8.3
ImageMagick 0 D2 7.0.10-9 7.0.10-14
Image-ExifTool 0 D2 11.98 11.99
goaccess 0 D2 1.3 1.4
ffmpeg 0 D2 4.2.2 4.2.3
sox 0 D2 14.0.0 14.4.2
git 0 D2 1.8 2.62.2
postfix 0 D2 3.5.1 3.5.2
amavisd 0 D2 2.10.1 2.11.1
clamav 0 D2 0.99.2 0.102.3
p0f 0 D2 3.08b 3.09b
postgrey 0 D2 1.34 1.37
spamassassin 0 D2 3.4.1 3.4.4
unrar 0 D2 5.2.7 5.9.2
memcached 1 D2 1.6.5 1 1.6.6
redis 1 D2 6.0.1 6.0.3
tomcat 8 2 N3 8.5.54 8.5.55
tomcat 9 2 N3 9.0.34 9.0.35
newrelic-java 2 N3 5.11.1 5.12.1
keycloak 2 N3 10.0.0 10.0.1
mariadb 1 N3 10.2.31 10.2.32
postgresql 1 N3 9.6.17 9.6.18
Elastic Search 6.x 0 D3 6.8.8 6.8.9
Elastic Search 7.x 0 D3 7.6.2 7.7.0

Veel software kan zonder, of met heel weinig impact ge-update worden. Voor deze zaken kiezen we ervoor om zo'n update overdag uit te voeren. Bij een aantal andere componenten is er iets meer impact merkbaar. Die voeren we uit in een nachtelijks change window. Hieronder is de impact genummerd van 0 (geen impact) via 1 (korte onderbreking van enkele seconden) tot 2 (onderbreking van enkele minuten op de dienstverlening). De tijdstippen zijn als volgt:

code tijdstip
D1 maandag 8 juni 8:00–12:00
D2 dinsdag 9 juni 8:00–12:00
N3 woensdag 10 juni 1:00–6:00 AM
D3 woensdag 10 juni 8:00–17:00
W 8–11 juni 8:00–17:00
  • aankondigingen/2020/c2020d11-software-updates-202006.txt
  • Last modified: 2020/10/17 11:12
  • (external edit)