NPO Hosting en Streaming

This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong.
~~META:
title = C2023D10: On-prem OpenSSL Upgrade
~~
{{htmlmetatags>
metatag-keywords=(software update openssl)
metatag-og:title=(On-prem OpenSSL Upgrade)
metatag-og:description=(
	Het is tot onze attentie gekomen dat de versie van OpenSSL die we
	in veel componenten gebruiken (1.1.1x) sind kort
	End-Of-Life is. Daarom wordt deze vervangen door een nieuwere
	versie (3.0.x) die wel in support is.

	Als gevolg hiervan worden er in de periode van 23--26 oktober software
	updates uitgevoerd van alle onderdelen die OpenSSL gebruiken.
	Het betreft:
	apache, bind, clamav, dovecot, geoipupdate, git, icecast, keepalived,
	nginx, passenger, postfix, php python ruby, syslog-ng en unbound.

	Daarnaast worden in het icecast platform een aantal oude,
	onveilige encryptie methodes uitgezet, zodat alleen de thans
	veilig geachte varianten overblijven.

	Dit betreft enkel de oude, on-prem omgeving. CHP wordt niet
	geraakt in deze actie. De werking van alle applicaties blijft
	gelijk. Dit bericht is enkel ter informatie.
)
}}
====== C2023D10: On-prem OpenSSL Upgrade ======
====== Aankondiging: Software onderhoud hosting omgeving ======
Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].)

Wij vragen aandacht voor het volgende:
  - OpenSSL Upgrade
  - Uitzetten onveilige encryptie methodes in het Icecast platform

==== On-prem OpenSSL Upgrade ====
Het is tot onze attentie gekomen dat de versie van OpenSSL die we
in veel componenten gebruiken (1.1.1x) sind kort
End-Of-Life is.
(Het oog van Sauron had blijkbaar even een andere kant
op gekeken...) In deze change wordt de verouderde versie vervangen door een
nieuwere (3.0.x) die //wel// in support is.

OpenSSL is een veelgebruikte programmabibliotheek voor het versleutelen
van data. De meestgebruikte toepassing hiervan is het https protocol,
waarbij web-data versleuteld over het internet verstuurd wordt.
OpenSSL zit daarom ingebakken in allerlei webserver software
(bijvoorbeeld apache en nginx) maar omdat de clients deze data weer
moeten "ontsleutelen" zit het ook ingebakken in client- en applicatiesoftware
als curl, git en in programmeertalen als ruby, python en php.

Dus als er (zoals nu) een nieuwe versie van OpenSSL gebruikt gaat
worden, dan worden al de genoemde componenten (apache, curl, php enz)
hierdoor geraakt.

Normaal, bij kleine updates van OpenSSL (bv van versie 1.1.1x naar
1.1.1y) is dat ook het geval. Dat type updates nemen we mee in de reguliere
8-wekelijkse software update rondes.
In dit geval wordt er overgestapt naar een wezenlijk nieuwere versie van
OpenSSL en "verpakken" we dit in deze aankondiging.

Waar in de tussentijd ook nieuwere point-releases van software pakketten
uitgekomen zijn (b.v. apache-2.4.57 -> apache-2.4.58) hebben we die
meteen meegenomen.

Dit betreft enkel de oude, on-prem omgeving. CHP wordt niet
geraakt in deze actie. De werking van alle applicaties blijft
gelijk. Dit bericht is enkel ter informatie.

==== Uitzetten onveilige encryptie methodes in het Icecast platform ====
In het TLS protocol dat ten grondslag ligt aan o.a. https hebben clients
en servers de mogelijkheid om met elkaar uit te onderhandelen welke
encryptieptmethode ze precies willen gebruiken. Dat is handig, want dat
geeft meer vrijheid om nieuwere methodes toe te voegen en oude te
verwijderen. Zolang er maar minimaal 1 gemeenschappelijke methode is tussen
clients en servers dan kunnen ze die gebruiken om met elkaar te
communiceren.

Een probleem echter wat hierbij optreedt is dat er van tijd tot tijd
fouten gevonden worden in bestaande encryptiemethodes. Het kan voorkomen
dat zo'n fout ervoor zorgt dat een methode minder veilig is dan eerder
gedacht werd, met als gevolg dat verkeer waarvan je dacht dat het veilig
versleuteld was in de praktijk toch afgeluisterd kan worden.

In zo'n geval is het zaak dat die encryptiemethode uitgefaseerd wordt en
dat clients en servers onderling een //wel// veilige methode
uitonderhandelen.

Het NPO Icecast platform bleek nog een aantal oude, onveilige
encryptiemethodes toe te staan. Deze worden uitgezet, zodat er alleen
nog nu veilig geachte methodes gebruikt kunnen worden.

===== Tijdschema =====
De OpenSSL upgrades worden in de periode van 23--26 oktober doorgevoerd.
De aanpassing in de Icecast encryptiemethodes worden op 23 oktober
doorgevoerd.

==== software met nieuwe OpenSSL versie ====
/* Dingen die deze ronde niet meedoen zijn uit ge-comment */
^wat			^impact	^op	^van		^ naar		^
|keepalived		|0	|W	|2.2.8		|[[http://www.keepalived.org/changelog.html|2.2.8]]|
|icecast		|0	|W	|2.4.0-kh22	|[[https://github.com/karlheyes/icecast-kh|2.4.0-kh22]] |
^ ^^^^^
|apache			|0	|D1	|2.4.57		|[[http://www.apache.org/dist/httpd/CHANGES_2.4.58|2.4.58]] |
/*|mod_smooth_streaming	|0	|D1	|1.12.3		|[[https://docs.unified-streaming.com/installation/distributions.html|1.12.8]]	|*/
/*|mp4split		|0	|D1	|1.12.3		|[[https://docs.unified-streaming.com/installation/distributions.html|1.12.8]]	|*/
|nginx			|0	|D1	|1.25.2		|[[http://nginx.org/en/CHANGES|1.25.2]]|
|php 8.0		|0	|D1	|8.0.30		|[[https://www.php.net/ChangeLog-8.php#8.0.30|8.0.30]]	|
|php 8.1		|0	|D1	|8.1.23		|[[https://www.php.net/ChangeLog-8.php#8.1.24|8.1.24]]	|
|passenger		|0	|D1	|6.0.18		|[[https://github.com/phusion/passenger/blob/stable-6.0/CHANGELOG|6.0.18]] |
|ruby			|0	|D1	|3.2.2		|[[https://www.ruby-lang.org/en/news/2023/03/30/ruby-3-2-2-released/|3.2.2]] |
/*|python		|0	|D1	|2.7.17		|[[https://www.python.org/downloads/release/python-2717/|2.7.17]]	|*/
|python			|0	|D1	|3.8.18		|[[https://docs.python.org/3.8/whatsnew/changelog.html|3.8.18]] |
/*|node 16		|0	|D1	|16.20.1	|[[https://github.com/nodejs/node/blob/master/doc/changelogs/CHANGELOG_V16.md|16.20.2]]	|*/
/*|yarn			|0	|D1	|1.22.19	|[[https://github.com/yarnpkg/yarn/blob/master/CHANGELOG.md|1.22.19]]|*/
/*|perl			|0	|D1	|5.36.1		|[[https://perldoc.perl.org/index-history.html|5.38.0]]	|*/
/*|OpenJDK11U-jre		|1	|D1	|11.0.19+7	|[[https://adoptopenjdk.net/release_notes.html|11.0.20.1+1]]	|*/
/*|OpenJDK11U-jdk		|1	|D1	|11.0.19+7	|[[https://adoptopenjdk.net/release_notes.html|11.0.20.1+1]]	|*/
/*|Elastic Search 	|0	|D1	|7.17.11	|[[https://www.elastic.co/guide/en/elasticsearch/reference/7.17/es-release-notes.html|7.17.13]] |*/
/*|grafana		|1	|D1	|10.0.2		|[[https://github.com/grafana/grafana/blob/master/CHANGELOG.md|10.1.2]] |*/
/*|fcron		|0	|D1	|3.2.1		|[[http://fcron.free.fr/doc/en/changes.html|3.2.1]] |*/
/*|influxdb		|1	|D1	|1.8.9		|[[https://docs.influxdata.com/influxdb/v1.8/reference/release-notes/influxdb/|1.8.10]] |*/
/*|memcached		|1	|D1	|1.6.20		|[[https://github.com/memcached/memcached/wiki/ReleaseNotes1619|1.6.21]]|*/
/*|redis7			|1	|D1	|7.0.12		|[[https://raw.githubusercontent.com/antirez/redis/7.2/00-RELEASENOTES|7.2.1]] |*/
/*|mariadb 10.6 		|1	|D1	|10.6.14	|[[https://mariadb.com/kb/en/mariadb-10612-release-notes/|10.6.15]] |*/
/*|postgresql13 		|1	|D1	|13.11		|[[https://www.postgresql.org/docs/13/static/release.html|13.12]]|*/
/*|ImageMagick 		|0	|D1	|7.1.1-13	|[[https://www.imagemagick.org/script/changelog.php|7.1.1-17]] |*/
/*|goaccess		|0	|D1	|1.7.1		|[[https://goaccess.io/release-notes|1.7.2]] |*/
/*|gzip			|0	|D1	|1.12		|[[https://www.gnu.org/software/gzip/|1.13]] |*/
/*|rclone			|0	|D1	|1.63.2		|[[https://rclone.org/changelog/|1.64.1]] |*/
/*|ts			|0	|D1	|0.7.3		|[[http://freshmeat.sourceforge.net/projects/taskspooler|1.0.2]] |*/
/*|ffmpeg4		|0	|D1	|4.4.3		|[[https://www.ffmpeg.org/download.html#releases|4.4.4]] |*/
/*|ffmpeg5		|0	|D1	|5.1.2		|[[https://www.ffmpeg.org/download.html#releases|5.1.3]] |*/
/*|alsa-utils		|0	|D1	|1.2.8		|[[https://www.alsa-project.org/wiki/Main_Page|1.2.9]] |*/
/*|GeoIP		|0	|D1	|1.6.12		|1.6.12 | */
|geoipupdate		|0	|D1	|6.0.0		|[[https://github.com/maxmind/geoipupdate/blob/master/CHANGELOG.md|6.0.0]] |
|dovecot		|1	|D1	|2.3.21		|[[https://www.dovecot.org/|2.3.21]] |
/*|mailman		|1	|D1	|2.1.37		|[[https://launchpad.net/mailman/2.1/2.1.39|2.1.39]] |*/
|syslog-ng		|0	|D1	|4.3.1		|[[https://github.com/balabit/syslog-ng/blob/master/NEWS.md|4.3.1]]	|
/*|openssh		|0	|D1	|9.3p2		|[[https://www.openssh.com/releasenotes.html|9.4p1]] |*/
/*|chrony			|0	|D1	|4.3		|[[https://chrony.tuxfamily.org/news.html|4.4]] |*/
/*|vsftpd			|1	|D1	|3.0.5		|[[https://security.appspot.com/vsftpd/Changelog.txt|3.0.5]]	|*/
|postfix		|0	|D1	|3.8.2		|[[http://www.postfix.org/announcements/postfix-3.8.2.html|3.8.2]] |
/*|amavisd		|0	|D1	|2.11.1		|[[https://www.amavis.org/release-notes.txt|2.11.1]] |*/
|clamav			|0	|D1	|1.2.0		|[[https://blog.clamav.net/|1.2.0]] |*/
/*|p0f			|0	|D1	|3.09b		|[[https://lcamtuf.coredump.cx/p0f3/|3.09b]] |*/
/*|postgrey		|0	|D1	|1.37		|[[https://github.com/schweikert/postgrey/blob/master/Changes|1.37]] |*/
/*|spamassassin		|0	|D1	|3.4.6		|[[https://spamassassin.apache.org/news.html|4.0.0]] |*/
/*|unrar			|0	|D1	|6.2.8		|[[http://www.linuxfromscratch.org/blfs/view/svn/general/unrar.html|6.2.10]] |*/
|bind			|0	|D1	|9.18.19	|[[https://ftp.isc.org/isc/bind9/9.18.19/CHANGES|9.18.19]] |
/*|dhcp			|0	|D1	|4.4.3-P1	|[[https://downloads.isc.org/isc/dhcp/4.4.3-P1/dhcp-4.4.3-P1-RELNOTES|4.4.3-P1]] |*/
|unbound		|0	|D1	|1.18.0		|[[http://www.unbound.net/download.html|1.18.0]]	|
/*|freeipmi		|0	|D1	|1.6.10		|[[https://www.gnu.org/software/freeipmi/NEWS|1.6.11]] |*/
/*|nrpe			|0	|D1	|4.1.0		|[[https://github.com/NagiosEnterprises/nrpe/blob/master/CHANGELOG.md|4.1.0]] |*/
|git			|0	|D1	|2.42.0		|[[https://git-scm.com/|2.42.0]] |
/*|netperf		|0	|D1	|2.7.0		|[[https://github.com/HewlettPackard/netperf/blob/master/Release_Notes|2.7.0]] |*/
/*|id3v2			|0	|D1	|0.1.12		|[[https://sourceforge.net/projects/id3v2/|0.1.12]] |*/
/*|httperf		|0	|D1	|2020-12-06	|[[https://github.com/httperf/httperf|2020-12-06]]	|*/
/*|atop			|0	|D1	|2.8.1		|[[https://www.atoptool.nl/downloadatop.php|2.9.0]]	|*/
/*|wkhtmltox		|0	|D1	|0.12.6		|[[https://github.com/wkhtmltopdf/wkhtmltopdf/blob/master/CHANGELOG.md|0.12.6]] |*/
/*|iptables		|0	|D1	|1.8.8		|[[https://www.netfilter.org/projects/iptables/files/changes-iptables-1.8.9.txt|1.8.9]]	|*/
/*|sudo			|0	|D1	|1.9.14p2	|[[https://www.sudo.ws/changes.html|1.9.14p3]]	|*/
/*|phpmyadmin		|0	|D1	|5.2.0		|[[https://www.phpmyadmin.net/files/5.2.1/|5.2.1]]|*/
/*|dokuwiki		|0	|D1	|2022-07-31a	|[[https://www.dokuwiki.org/changes|2023-04-04a]]|*/
^ ^^^^^

==== Legenda ====
Veel software kan zonder, of met heel weinig impact ge-update worden.
Voor deze zaken kiezen we ervoor om zo'n update overdag uit te
voeren. Bij een aantal andere componenten is er iets meer impact
merkbaar. Die voeren we uit in een nachtelijks change window. Hieronder
is de impact genummerd van 0 (geen impact) via 1 (korte onderbreking
van enkele seconden) tot 2 (onderbreking van enkele minuten op de
dienstverlening).

De tijdstippen zijn als volgt:
^code	^tijdstip	^
|D1	|maandag 23 oktober 8:00--17:00	|*/
/*|D2	|dinsdag 24 oktober 8:00--12:00	|*/
/*|N3	|woensdag 25 oktober 1:00--6:00 AM	|*/
/*|D3	|woensdag 25 oktober 8:00--17:00	|*/
|W	|23--26 oktober 8:00--17:00		|
/*|tbd	|te bepalen in overleg met de gebruikers	|*/

==== Bereikbaarheid ====
Team Hosting&Streaming is gedurende al het onderhoud via de normale
kanalen bereikbaar. Zie de [[:contact|contact pagina]].