Instanzen der Plattform Splunk droht zum 1. Januar 2020 eine Art verspätetes Y2K-Problem: Sie können zweistellige Zeitstempel ab diesem Zeitpunkt nicht mehr korrekt erkennen, so dass es zum Hinzufügen falscher Stempel kommen kann. Des Weiteren werden ab dem 13. September 2020 um 12:26:39 PM (UTC) Unix-Zeitstempel aufgrund fehlerhaften Parsens grundsätzlich nicht mehr erkannt.
Auf dieses kritische Problem weist ein Beitrag auf der Website des Log-, Monitoring- und Reporting-Werkzeugs Splunk hin. Ihm ist auch zu entnehmen, dass es einen Fix gibt, der den Problemen vorbeugt. Splunk-Cloud-Kunden erhalten ihn automatisch. Admins der anderen im Beitrag genannten Plattformen sollten dringend daran denken, die Aktualisierung rechtzeitig vorzunehmen – vor allem auch deshalb, weil eine bereits erfolgte fehlerhafte Zeitstempel-Vergabe laut Splunk im Nachhinein nicht korrigierbar ist.
Ursache des Problems sind reguläre Ausdrücke in der Datei datetime.xml, die Splunks Eingabeprozessor bei der Zeitstempel-Bestimmung hilft. Die betreffenden regulären Ausdrücke machen aus Jahresangaben zweistellige Zeitstempel, wurden aber offenbar so gewählt, dass dies nur bis zum 31.12.2019 korrekt funktioniert.
Betroffene Plattformen und Versionen
Der Bug steckt laut Sicherheitshinweis in den folgenden Arten von Splunk-Instanzen:
- Splunk Cloud (automatischer Fix; Splunk-Support informiert über den Zeitpunkt)
- Splunk Light
- Splunk Enterprise:
- - Indexers (egal ob geclustert oder nicht)
- - Heavy forwarders
- - Search heads (egal ob geclustert oder nicht)
- - Search head deployers
- - Deployment servers
- - Cluster masters
- - License masters
Je nach Konfiguration können auch Universal forwarders betroffen sein; Details dazu sind dem Abschnitt "Impact" des Hinweises auf der Splunk-Site zu entnehmen.
docs.splunk.com
Das Splunk-Team hat die abgesicherten Versionen in einer Tabelle zusammengefasst.
Vier Lösungswege verfügbar
Die Splunk-Entwickler nennen die folgenden möglichen Vorgehensweisen, um das Problem in den Griff zu bekommen:
- Den Download einer von Splunk bereitgestellten App, die die kaputte datetime.xml vorübergehend durch eine korrigierte Version ersetzt. Zum Deployment muss zwar nicht die komplette Plattform gestoppt werden, allerdings ist ein Neustart der - einzelnen Instanzen notwendig. Hierbei handelt es sich ausdrücklich nur im eine temporäre Lösung für umfangreiche Infrastrukturen.
- Den Download einer aktualisierten datetime.xml sowie das anschließende Ersetzen der - Dateien auf allen Instanzen.
- Ein Upgrade aller Instanzen auf die vom Splunk-Team veröffentlichten neuen - Versionen samt gefixter datetime.xml.
- Das manuelle Modifizieren der XML-Dateien aller Instanzen (siehe Anleitung im - Sicherheitshinweis).
In allen vier Fällen ist es ratsam, den jeweiligen Abschnitt im Sicherheitshinweis sorgfältig zu lesen und den dortigen Anweisungen zu folgen.
Quelle: Y2K-Bug-Variante trifft Splunk-Produkte – Lösungen verfügbar | heise online