NPO Hosting en Streaming

This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong.
~~META:
title = C2020D14: Software updates augustus 2020
~~
{{htmlmetatags>
metatag-keywords=(software update)
metatag-og:title=(Software updates augustus 2020)
metatag-og:description=(
	In de periode van 24--27 augustus worden er software updates in de
	NPO hosting omgeving uitgevoerd. Het betreft
	keepalived, icecast, apache, nginx, php, passenger, python, node-js, perl, java, tomcat, newrelic-java, apache-activemq, graylog, elasticsearch, grafana, keycloak, influxdb, mongodb, mongodb-database-tools, redis, mariadb, mysq, ImageMagick, curl, ffmpeg, mailman, syslog-ng, postfix, clamav, unrar, bind, unbound, git en id3v2.
	Verder zijn er mededelingen betreffende
	apache kwetsbaarheden, PHP-7.2, Elasticsearch-6 en NodeJS-10 End-Of-Life
	en de najaarsdienstregeling t.a.v. reguliere software updates.
	)
}}
====== C2020D14: Software updates augustus 2020 ======
====== Aankondiging: Software onderhoud hosting omgeving ======
Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].)

Wij vragen aandacht voor het volgende:
  - Apache kwetsbaarheden
  - Mongodb upgrade
  - PHP-7.2, Elasticsearch-6 en NodeJS-10 End-Of-Life
  - Najaarsdienstregeling software updates
  - Reguliere software updates

==== Apache kwetsbaarheden ====
Begin augustus zijn er een aantal
[[http://httpd.apache.org/security/vulnerabilities_24.html|kwetsbaarheden]]
in de apache webserver gevonden. In een geval was het mogelijk om een
webserver op afstand te laten crashen door een speciaal geprepareerde
header mee te sturen. Om dit tegen te gaan hebben we een mitigerende
maatregel uitgevoerd ("H2Push off") waardoor een stukje niet kritieke
functionaliteit tijdelijk uitgestaan heeft (nl HTTP2 push, een
optimalisatie functie waarbij clients content kunnen krijgen nog voordat
ze er zelf om gevraagd hebben) In deze ronde activeren we een versie van
apache die hier niet meer kwetsbaar voor is en tegelijkertijd zullen we
HTTP2 push dan ook weer activeren.
Hiervoor zijn verder geen wijzigingen aan de kant van gebruikers of
developers nodig. Het enige verschil is dat resources iets efficienter
benut worden als HTTP2 push weer aanstaat.

==== Mongodb upgrade ====
In deze ronde gaat mongodb van versie 4.2.x naar 4.4.x. Om deze upgrade
uit te voeren is het nodig mongodb te stoppen en een export+import van
de data te doen. Hierdoor zijn applicaties die afhankelijk zijn van
mongodb kort (< 5 min) niet beschikbaar. We nemen contact op met de
betrokken gebruikers om een goed moment hiervoor te kiezen.

Verder heeft mongodb ervoor gekozen om de zogeheten "mongodb database
tools" (mongodump, mongoimport e.d.) met deze release af te splitsen van
de database server. Deze zijn vanaf nu op het hosting platform onder
''/local/bin'' te vinden. (was ''/local/mongodb/bin'')

==== PHP-7.2, Elasticsearch-6 en NodeJS-10 End-Of-Life ====
Zoals al eerder gemeld zijn in november 2020 zowel PHP-7.2 en Elasticsearch-6
[[:eol-kalender#chronologisch_overzicht|End-Of-Life]]. Dat betekent dat
deze versies na november niet meer beschikbaar zullen zijn op het
hosting platform. Veel klanten zijn inmiddels bezig met een
migratietraject naar nieuwere PHP resp. Elasticsearch versies.
Indien je hier nog niet mee gestart bent dan is dit wel //het// moment
om dat alsnog te doen!

Verder is NodeJS-10 op 30 april 2021 End-Of-Life. Wij adviseren
gebruikers hiervan om tijdig over te stappen naar NodeJS-12.

==== Najaarsdienstregeling software updates ====
Omdat in het reguliere 4-wekelijkse software update schema de software
update ronde van september precies in de week van prinsjesdag en de
algemene beschouwingen zou vallen en omdat onze minister president het
toch al zo druk heeft en waarschijnlijk niet zit te wachten op het
verplaatsen van de derde dinsdag van september, verschuiven wij deze
update ronde 1 week naar achteren, 21--24 september.
Daarna volgt een korter interval van 3
weken zodat vervolgens het 4-wekelijkse ritme weer opgepakt kan worden.

===== Software update rooster =====
Het software update rooster voor de komende tijd ziet er als volgt uit:
^software update ronde	^uitrol in test		^gelegenheid tot testen	^uitrol in productie	^
|Augustus		|13--14 augustus	|17--21 augustus	|24--27 augustus	|
|September		|10--11 september	|14--18 september	|21--24 september	|
|Oktober		|1--2 oktober		|5--9 oktober		|12--15 oktober		|
|November		|29--30 oktober		|2--6 november		|9--12 november		|
|December		|26--27 november	|30 november--4 december	|7--10 december	|

===== Reguliere software updates =====
De updates zijn op 13--14 augustus op het testcluster doorgevoerd,
waarna de week van 17--21 augustus gebruikt kan worden om te testen.
In de periode van 24--27 augustus worden de updates op de
productie-omgevingen doorgevoerd volgens onderstaand schema:

/* Dingen die deze ronde niet meedoen zijn uit ge-comment */
^wat			^impact	^op	^van		^ naar		^
|keepalived		|0	|W	|2.1.2		|[[http://www.keepalived.org/changelog.html|2.1.5]]|
|icecast		|0	|W	|2.4.0-kh14	|[[https://github.com/karlheyes/icecast-kh|2.4.0-kh15]] |
^ ^^^^^
/*|dhcp			|0	|D1	|4.4.1		|[[https://ftp.isc.org/isc/dhcp/4.4.2/dhcp-4.4.2-RELNOTES|4.4.2]] |*/
/*|freeipmi		|0	|D1	|1.6.4		|[[https://www.gnu.org/software/freeipmi/NEWS|1.6.5]] |*/
/*|nrpe			|0	|D1	|4.0.3		|[[https://github.com/NagiosEnterprises/nrpe/blob/master/CHANGELOG.md|4.0.3]] |*/
/*|openssh		|0	|D1	|8.2p1		|[[https://www.openssh.com/releasenotes.html|8.3p1]] |*/
/*|GeoIP		|0	|D1	|1.6.12		|1.6.12 | */
/*|geoipupdate		|0	|D1	|3.1.1		|[[https://github.com/maxmind/geoipupdate/blob/master/CHANGELOG.md|3.1.1]] |*/
/*|fcron		|0	|D1	|3.2.1		|[[http://fcron.free.fr/doc/en/changes.html|3.2.1]] |*/
/*|chrony		|0	|D1	|3.4		|[[https://chrony.tuxfamily.org/news.html|3.5]] |*/
/*|gearmand		|1	|D1	|1.1.18		|[[https://github.com/gearman/gearmand/releases|1.1.19.1]] |*/*/
/*|openldap		|1	|D1	|2.4.49		|[[https://www.openldap.org/software/release/changes.html|2.4.50]] |*/
/*|freeradius 3.x	|1	|D1	|3.0.20		|[[https://freeradius.org/release_notes/?br=3.0.x&re=3.0.21|3.0.21]] |*/
/*|dovecot		|1	|D1	|2.3.10		|[[https://www.dovecot.org/|2.3.10.1]] |*/
|mailman		|1	|D1	|2.1.33		|[[https://launchpad.net/mailman/2.1/2.1.34|2.1.34]] |
|mongodb		|2	|tbd	|4.2.8		|[[https://docs.mongodb.com/manual/release-notes/4.2/|4.4.0]] |
|mongodb-database-tools	|0	|D1	|-		|[[https://docs.mongodb.com/database-tools/release-notes/database-tools-changelog/|100.1.1]] |
|Graylog		|1	|D1	|3.3.1		|[[http://docs.graylog.org/en/3.2/pages/changelog.html|3.3.4]] |
|influxdb		|1	|D1	|1.8.0		|[[https://docs.influxdata.com/influxdb/v1.8/about_the_project/releasenotes-changelog/|1.8.1]] |
|grafana		|1	|D1	|7.0.3		|[[https://github.com/grafana/grafana/blob/master/CHANGELOG.md|7.1.3]] |
/*|alsa-utils		|0	|D1	|1.1.2		|[[https://www.alsa-project.org/wiki/Main_Page|1.2.3]] |*/
^ ^^^^^
|syslog-ng		|0	|D2	|3.27.1		|[[https://github.com/balabit/syslog-ng/blob/master/NEWS.md|3.28.1]]	|
|apache			|0	|D2	|2.4.43		|[[http://www.apache.org/dist/httpd/CHANGES_2.4.43|2.4.46]] |
/*|mod_smooth_streaming	|0	|D2	|1.9.5		|[[https://www.unified-streaming.com/products/unified-origin|1.9.5]] |*/
|nginx			|0	|D2	|1.19.0		|[[http://nginx.org/en/CHANGES|1.19.2]]|*/
|php 7.2		|0	|D2	|7.2.31		|[[https://www.php.net/ChangeLog-7.php#7.2.33|7.2.33]]	|
|php 7.3		|0	|D2	|7.3.19		|[[https://www.php.net/ChangeLog-7.php#7.3.21|7.3.21]]	|
|php 7.4		|0	|D2	|7.4.7		|[[https://www.php.net/ChangeLog-7.php#7.4.7|7.4.7]]	|
|passenger 6		|0	|D2	|6.0.5		|[[https://github.com/phusion/passenger/blob/stable-6.0/CHANGELOG|6.0.6]] |
/*|ruby 2.6		|0	|D2	|2.6.6		|[[https://www.ruby-lang.org/en/news/2019/10/01/ruby-2-6-6-released/|2.6.6]] |*/
/*|python		|0	|D2	|2.7.16		|[[https://www.python.org/downloads/release/python-2717/|2.7.17]]	|*/
|python			|0	|D2	|3.8.3		|[[https://docs.python.org/3.8/whatsnew/changelog.html|3.8.5]] |*/
|node			|0	|D2	|10.20.1	|[[https://github.com/nodejs/node/blob/master/doc/changelogs/CHANGELOG_V10.md|10.21.0]]	|
/*|yarn			|0	|D2	|1.22.4		|[[https://github.com/yarnpkg/yarn/blob/master/CHANGELOG.md|1.22.4]]|*/
|perl			|0	|D2	|5.30.3		|[[https://perldoc.perl.org/index-history.html|5.32.0]]	|
/*|tomcat-native	|0	|D2	|1.2.24		|[[http://tomcat.apache.org/native-doc/miscellaneous/changelog.html|1.2.24]] |*/
|ImageMagick 		|0	|D2	|7.0.10-20	|[[https://www.imagemagick.org/script/changelog.php|7.0.10-27]] |
|curl			|0	|D2	|7.70.0		|[[https://curl.haxx.se/changes.html|7.71.1]] |
/*|goaccess		|0	|D2	|1.3		|[[https://goaccess.io/release-notes|1.4]] |*/
/*|gzip			|0	|D2	|1.10		|[[https://www.gnu.org/software/gzip/|1.10]] |*/
/*|ts			|0	|D2	|0.7.3		|[[http://freshmeat.sourceforge.net/projects/taskspooler|0.7.3]] |*/
|ffmpeg			|0	|D2	|4.2.3		|[[https://www.ffmpeg.org/download.html#releases|4.3.1]] |
/*|sox			|0	|D2	|14.0.0		|[[http://sox.sourceforge.net/|14.4.2]] |*/
|git			|0	|D2	|2.27.0		|[[https://git-scm.com/|2.28.0]] |
/*|netperf		|0	|D2	|2.7.0		|[[https://github.com/HewlettPackard/netperf/blob/master/Release_Notes|2.7.0]] |*/
|id3v2			|0	|D2	|0.1.11		|[[https://sourceforge.net/projects/id3v2/|0.1.12]] |
|postfix		|0	|D2	|3.5.3		|[[http://www.postfix.org/announcements/postfix-3.5.6.html|3.5.6]] |
/*|amavisd		|0	|D2	|2.10.1		|[[https://www.amavis.org/release-notes.txt|2.11.1]] |*/
|clamav			|0	|D2	|0.102.3	|[[https://blog.clamav.net/|0.102.4]] |
/*|p0f			|0	|D2	|3.08b		|[[https://lcamtuf.coredump.cx/p0f3/|3.09b]] |*/
/*|postgrey		|0	|D2	|1.34		|[[https://github.com/schweikert/postgrey/blob/master/Changes|1.37]] |*/
/*|spamassassin		|0	|D2	|3.4.1		|[[https://spamassassin.apache.org/news.html|3.4.4]] |*/
|unrar			|0	|D2	|5.9.3		|[[http://www.linuxfromscratch.org/blfs/view/svn/general/unrar.html|5.9.4]] |
|bind			|0	|D2	|9.11.20	|[[https://ftp.isc.org/isc/bind9/9.11.22/CHANGES|9.11.22]] |
|unbound		|0	|D2	|1.10.1		|[[http://www.unbound.net/download.html|1.11.0]]	|
/*|memcached		|1	|D2	|1.6.5		|[[https://github.com/memcached/memcached/wiki/ReleaseNotes164|1]] [[https://github.com/memcached/memcached/wiki/ReleaseNotes165|1.6.6]]|*/
|redis			|1	|D2	|6.0.5		|[[https://raw.githubusercontent.com/antirez/redis/6.0/00-RELEASENOTES|6.0.6]] |
^ ^^^^^
|OpenJDK8U-jre		|2	|N3	|8u242b09 	|[[https://adoptopenjdk.net/release_notes.html|8u265b01]]	|
|OpenJDK11U-jre		|2	|N3	|11.0.7_10	|[[https://adoptopenjdk.net/release_notes.html|11.0.8_10]]	|
|OpenJDK11U-jdk		|2	|N3	|11.0.7_10	|[[https://adoptopenjdk.net/release_notes.html|11.0.8_10]]	|
|tomcat 8		|2	|N3	|8.5.56		|[[https://tomcat.apache.org/tomcat-8.5-doc/changelog.html|8.5.57]] |
|tomcat 9		|2	|N3	|9.0.36		|[[https://tomcat.apache.org/tomcat-9.0-doc/RELEASE-NOTES.txt|9.0.37]] |
|mysql-connector-java	|2	|N3	|8.0.20		|[[https://dev.mysql.com/doc/relnotes/connector-j/8.0/en/|8.0.21]] |
/*|mysql-connector-java5 |2	|N3	|5.1.49		|[[https://dev.mysql.com/doc/relnotes/connector-j/5.1/en/|5.1.49]] |*/
|newrelic-java		|2	|N3	|5.13.0		|[[https://docs.newrelic.com/docs/agents/java-agent|5.14.0]]	|
|ActiveMQ		|2	|N3	|5.15.13	|[[http://activemq.apache.org/activemq-51513-release.html|5.16.0]] |
|keycloak		|2	|N3	|10.0.2		|[[https://www.keycloak.org/docs/latest/release_notes/index.html|11.0.0]] |
|mariadb 		|1	|N3	|10.2.32	|[[https://mariadb.com/kb/en/library/mariadb-10233-release-notes/|10.2.33]] |
|mysql			|1	|N3	|5.7.30		|[[https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-31.html|5.7.31]] |
/*|postgresql 		|1	|N3	|9.6.17		|[[https://www.postgresql.org/docs/9.6/static/release.html|9.6.18]]|*/
^ ^^^^^
/*|Elastic Search 5.x	|0	|D3	|5.6.15		|[[https://www.elastic.co/guide/en/elasticsearch/reference/5.6/es-release-notes.html|5.6.16]] |*/
|Elastic Search 6.x	|0	|D3	|6.8.10		|[[https://www.elastic.co/guide/en/elasticsearch/reference/6.8/es-release-notes.html|6.8.11]] |
|Elastic Search 7.x	|0	|D3	|7.8.0		|[[https://www.elastic.co/guide/en/elasticsearch/reference/7.6/es-release-notes.html|7.8.1]] |
^ ^^^^^

==== Legenda ====
Veel software kan zonder, of met heel weinig impact ge-update worden.
Voor deze zaken
kiezen we ervoor om zo'n update overdag uit te voeren. Bij een aantal
andere componenten is er iets meer impact merkbaar. Die voeren we
uit in een nachtelijks change window. Hieronder is
de impact genummerd van 0 (geen impact) via 1 (korte onderbreking van
enkele seconden) tot 2 (onderbreking van enkele minuten op de
dienstverlening).
De tijdstippen zijn als volgt:
^code	^tijdstip	^
|D1	|maandag 24 augustus 8:00--17:00	|
|D2	|dinsdag 25 augustus 8:00--12:00	|
|N3	|woensdag 26 augustus 1:00--6:00 AM	|
|D3	|woensdag 26 augustus 8:00--17:00	|
|W	|24--27 augustus 8:00--17:00		|
|tbd	|te bepalen in overleg met de gebruikers	|