{"id":225460,"date":"2019-11-28T01:06:00","date_gmt":"2019-11-27T23:06:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=225460"},"modified":"2019-11-27T18:43:38","modified_gmt":"2019-11-27T17:43:38","slug":"splunk-plattformen-zum-1-1-2020-vom-y2k-bug-betroffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/28\/splunk-plattformen-zum-1-1-2020-vom-y2k-bug-betroffen\/","title":{"rendered":"Splunk-Plattformen zum 1.1.2020 vom &lsquo;Y2K-Bug&rsquo; betroffen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=12081\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Noch eine kurze Meldung f\u00fcr Administratoren von Splunk-Produkten. Da droht zum 1.1.2020 ein Funktionsausfall, \u00e4hnlich wie beim Year 2K-Problem zur Jahrtausendwende, weil Z\u00e4hler an diesem Datum \u00fcberlaufen. Es gibt aber Patches, um dieses Problem zu beheben.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/f0aebdb69af4450297185263aa70a6d8\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin bereits vor einigen Stunden bei <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/splunk-faces-y2k-bug-like-problem-unless-patched\/\" target=\"_blank\" rel=\"noopener noreferrer\">Bleeping Computer<\/a> auf das Thema aufmerksam geworden. Der nachfolgende Tweet weist aber nochmals auf das Problem hin.<\/p>\n<blockquote>\n<p dir=\"ltr\" lang=\"de\">Einige Splunk-Plattformen sind von einem Fehler bedroht, der am 1. Januar 2020 in Aktion tritt und dem ber\u00fcchtigten Y2K-Bug \u00e4hnelt \u2013 Patchen sehr zu empfehlen <a href=\"https:\/\/t.co\/J451iUTLE3\">https:\/\/t.co\/J451iUTLE3<\/a> ^RW<\/p>\n<p>\u2014 Trend Micro Deutschland (@TrendMicroDE) <a href=\"https:\/\/twitter.com\/TrendMicroDE\/status\/1199659133206761473?ref_src=twsrc%5Etfw\">November 27, 2019<\/a><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p><\/blockquote>\n<p><a href=\"https:\/\/de.wikipedia.org\/wiki\/Splunk\" target=\"_blank\" rel=\"noopener noreferrer\">Splunk<\/a> ist ein Log-, Monitoring- und Reporting-Tool, das Maschinendaten (Logs, Metriken und weitere Daten von Applikationen, Servern und Netzwerkger\u00e4ten) indiziert und sie \u00fcber ein durchsuchbares Repository f\u00fcr alle Benutzer zug\u00e4nglich und nutzbar macht. So lassen sich Grafiken, Reports und Warnmeldungen generieren. Systemadministratoren sollen so St\u00f6rf\u00e4lle erkennen und analysieren k\u00f6nnen.<\/p>\n<h2>Das Problem: Inkonsistente Datentypen<\/h2>\n<p>Vom Splunk-Eingabeprozessor werden verschiedene Arten von Daten und Zeitstempeln, basierend auf der Datei 'datetime.xml' verwendet. Die XML-Datei verwendet regul\u00e4re Ausdr\u00fccke, um die Informationen aus eingehenden Daten zu extrahieren. Das Problem ist, dass die ungepatchte Version der Datei Jahresangaben im zweistelligen Datumsformat bis 2019 extrahieren kann. Das bedeutet, dass die betroffenen Splunk-Anwendungen nur bis zum 31. Dezember 2019 funktionieren.<\/p>\n<p>Die <a href=\"https:\/\/docs.splunk.com\/Documentation\/Splunk\/8.0.0\/ReleaseNotes\/FixDatetimexml2020\" target=\"_blank\" rel=\"noopener noreferrer\">Release-Notes f\u00fcr Splunk Enterprise<\/a> gibt an, dass ab dem 1.1.2020 veraltete Splunk-Instanzen \"eingehende Daten f\u00e4lschlicherweise als ung\u00fcltiges Zeitstempeljahr behandeln\". Sie k\u00f6nnten entweder Zeitstempel mit dem aktuellen Jahr hinzuf\u00fcgen oder das Datum falsch interpretieren und einen Zeitstempel mit dem falsch interpretierten Datum hinzuf\u00fcgen. In der Splunk Enterprise-Dokumentation wird daher gewarnt, dass ein Update vor dem 1. Januar 2020 installiert werden muss, damit die Plattform Zeitstempel f\u00fcr Ereignisse mit einem zweistelligen Jahr auch nach dem Jahreswechsel korrekt erkennt.<\/p>\n<h2>Betroffene Splunk-Produkte<\/h2>\n<p>Die <a href=\"https:\/\/docs.splunk.com\/Documentation\/Splunk\/8.0.0\/ReleaseNotes\/FixDatetimexml2020\" target=\"_blank\" rel=\"noopener noreferrer\">Release-Notes <\/a>des Herstellers listen die nachfolgenden Splunk-Produkte als vom Fehler betroffen auf. Administratoren sollten diese Produkte, unabh\u00e4ngig vom zugrunde liegenden Betriebssystem, patchen.<\/p>\n<ul>\n<li>Splunk Cloud<\/li>\n<li>Splunk Light<\/li>\n<li>Splunk Enterprise\n<ul>\n<li>Indexers, clustered oder nicht<\/li>\n<li>Heavy forwarders<\/li>\n<li>Search heads, clustered oder nicht<\/li>\n<li>Search head deployers<\/li>\n<li>Deployment servers<\/li>\n<li>Cluster masters<\/li>\n<li>License masters<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Splunk Universal Forwarder sind unter den folgenden Bedingungen betroffen:<\/p>\n<ul>\n<li>Wenn sie strukturierte Daten wie CSV-Dateien (Comma Separated Values) verarbeiten, mit der Einstellung INDEXED_EXTRACTIONS in 'props.conf'.<\/li>\n<li>When they process data inputs prior to forwarding, with the 'force_local_processing = true' setting in 'props.conf'<\/li>\n<\/ul>\n<p>Splunk Cloud-Kunden erhalten den Fix automatisch. Splunk Cloud-Kunden werden von Support-Mitarbeitern informiert, wann das Upgrade stattfindet. Da es sich um ein kritisches Update handelt, gibt es keine M\u00f6glichkeit, dieses zu verschieben. Weitere Details sind im Bedarfsfall den <a href=\"https:\/\/docs.splunk.com\/Documentation\/Splunk\/8.0.0\/ReleaseNotes\/FixDatetimexml2020\" target=\"_blank\" rel=\"noopener noreferrer\">Release Notes<\/a> zu entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch eine kurze Meldung f\u00fcr Administratoren von Splunk-Produkten. Da droht zum 1.1.2020 ein Funktionsausfall, \u00e4hnlich wie beim Year 2K-Problem zur Jahrtausendwende, weil Z\u00e4hler an diesem Datum \u00fcberlaufen. Es gibt aber Patches, um dieses Problem zu beheben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7459,185],"tags":[24,3836,4315],"class_list":["post-225460","post","type-post","status-publish","format-standard","hentry","category-software","category-update","tag-problem","tag-software","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225460","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=225460"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225460\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=225460"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=225460"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=225460"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}