Hinweis zum Patch für die Looker-Abfrage-ID-API

Looker hat ein obligatorisches Sicherheitsupdate veröffentlicht, um das Risiko einer Metadatenpanne bei authentifizierten Looker-Nutzern zu verhindern, die dasselbe LookML-Modell verwenden. Wenn Sie die Minderung in Ihrer Instanz aktivieren möchten, müssen Sie möglicherweise die Nutzung bestimmter API-Endpunkte ändern. Dieser Patch wirkt sich auf alle unterstützten Looker-Versionen aus, die im Dokument Offiziell unterstützte Releases aufgeführt sind.

Was hat sich geändert?

Looker hat ein obligatorisches Sicherheitsupdate auf Ihrem System angewendet. Aufgrund der Änderung des Verhaltens einiger API-Endpunkte müssen Sie das Sicherheitsupdate aktivieren und die Verwendung aktualisierter APIs anpassen, um Fehler in Ihren API-Scripts zu vermeiden.

Für von Looker gehostete Instanzen wird mit diesem Patch eine neue alte Funktion namens Zahlenbasierte Abfrage-IDs nicht zulassen hinzugefügt. Wenn diese ältere Funktion aktiviert ist, führt dies zu Änderungen bei der Verwendung der folgenden API-Endpunkte:

• Für den Endpunkt GET /queries/<query_id> ist ein Slug für die query_id erforderlich. Bei einem query_id, dem eine numerische Abfrage-ID zugewiesen ist, wird ein 404-Fehler zurückgegeben.
• Für den Endpunkt POST /render_tasks/queries/<query_id>/<result_format> ist ein Slug für die query_id erforderlich. Bei einem query_id, dem eine numerische Abfrage-ID zugewiesen ist, wird ein 404-Fehler zurückgegeben.
• Der Endpunkt GET /running_queries ist nur für Looker-Administratoren zugänglich.

Bei von Kunden gehosteten Instanzen werden die vorherigen Änderungen am API-Endpunkt aktiviert, wenn die Instanz auf eine Looker-Version mit diesem Patch aktualisiert wird.

Was muss ich tun?

Google Cloud empfiehlt allen Kunden, die folgenden beiden Aktionen auszuführen:

• Aktualisieren Sie alle API-Scripts, die einen der aktualisierten API-Endpunkte enthalten. Wenn Sie Ihre API-Scripts nicht wie im folgenden Abschnitt beschrieben aktualisieren, kann dies zu Fehlern in Ihren Anwendungen führen. Eine Anleitung dazu, wie Sie unter Systemaktivität die API-Endpunktnutzung aufrufen, finden Sie im Abschnitt Wie kann ich feststellen, ob wir einen der aktualisierten API-Endpunkte verwenden? dieses Dokuments.

• Aktivieren Sie die Patch-Updates. Eine Anleitung finden Sie im Abschnitt, der Ihrer Looker-Instanz entspricht:

  • Patch-Updates in von Looker gehosteten Looker-Instanzen (Original) aktivieren
  • Patch-Updates für Looker-Instanzen (Google Cloud Core) aktivieren
  • Patch-Updates auf vom Kunden gehosteten Instanzen aktivieren

API-Scripts aktualisieren

Wenn Sie einen der unten aufgeführten API-Endpunkte verwenden, müssen Sie unabhängig von der verwendeten Looker- oder API-Version möglicherweise Maßnahmen ergreifen. Die empfohlene Maßnahme hängt davon ab, ob Sie die API 3.0 oder API 3.1 oder die API 4.0 verwenden.

• GET /queries/<query_id>
• POST /render_tasks/queries/<query_id>/<result_format>
• GET /running_queries

Wenn Sie API 4.0 verwenden

Wenn Sie API 4.0 und einen der im vorherigen Abschnitt aufgeführten Endpunkte verwenden, nehmen Sie die folgenden Änderungen am Anwendungscode vor:

• Ersetzen Sie alle numerischen query_ids-Werte (z. B. 32 oder 124), die mit den Endpunkten GET /queries/<query_id> oder POST /render_tasks/queries/<query_id>/<result_format> verwendet werden, durch den Slug-Wert für die Abfrage. Eine Anleitung zum Ermitteln des Slug-Werts einer Suchanfrage finden Sie im Abschnitt „Wie finde ich den Slug-Wert für eine Suchanfrage?“.
• Alle Anwendungen, die den Endpunkt GET /running_queries verwenden, sind nur für Looker-Administratoren zugänglich.

Wenn Sie API 3.0 oder 3.1 verwenden

Wenn Sie API 3.0 oder API 3.1 verwenden und einen der im vorherigen Abschnitt aufgeführten Endpunkte verwenden, nehmen Sie die folgenden Änderungen am Anwendungscode vor:

• Der Endpunkt GET /queries/<query_id> funktioniert demnächst nicht mehr. Ersetzen Sie den Endpunkt GET /queries/<query_id> durch den Endpunkt GET /queries/slug/<slug>, um dieselben Abfragemetadaten abzurufen, die Sie zuvor erhalten haben. Eine Anleitung zum Ermitteln des Slug-Werts einer Suchanfrage finden Sie im Abschnitt „Wie finde ich den Slug-Wert für eine Suchanfrage?“.
• Der Endpunkt POST /render_tasks/queries/<query_id>/<result_format> funktioniert demnächst nicht mehr. Die Looker SDKs, die API 3.1 unterstützen, unterstützen sowohl API 3.1 als auch API 4.0. Wenn Sie keines der Looker-SDKs verwenden, ändern Sie die http request path so, dass für diesen Aufruf 4.0 anstelle von 3.1 verwendet wird. Ersetzen Sie dann alle numerischen query_ids (z. B. 32, 124 usw.) durch den Slug für die Abfrage. Eine Anleitung zum Ermitteln des Slug-Werts einer Suchanfrage finden Sie im Abschnitt „Wie finde ich den Slug-Wert für eine Suchanfrage?“.
• Alle Anwendungen, die den Endpunkt GET /running_queries verwenden, sind nur für Looker-Administratoren zugänglich.

Wie finde ich den Slug-Wert für eine Suchanfrage?

So finden Sie den Slug-Wert für eine Suchanfrage:

• Bei einem Explore finden Sie den Slug in der URL des Explores nach der Variablen qid=.

• Sie finden den Slug-Wert, der einer numerischen Abfrage-ID zugewiesen ist, unter Systemaktivität.

  1. Wählen Sie im Looker-Explore-Menü die Explore-Option Systemaktivität > Verlauf aus.

  2. Wählen Sie in der Ansicht Abfrage die Dimensionen ID und Link aus.

  3. Optional: Fügen Sie einen Filter für die Dimension ID hinzu und geben Sie die numerische Abfrage-ID in das Filterfeld Abfrage-ID ein.

  4. Klicken Sie auf Ausführen.

     

  5. Klicken Sie in den Explore-Ergebnissen auf den Link [Query] neben der numerischen Abfrage-ID. Daraufhin wird ein Explore auf Grundlage dieser numerischen Abfrage-ID geöffnet.

  6. Sie können den Slug dann in der URL des explorativen Datenanalysetools verwenden, der in der URL auf die Variable qid= folgt.

Patch in von Looker gehosteten Looker-Instanzen (Originalinstanzen) aktivieren

Google Cloud empfiehlt allen Kunden, die Looker-Plattform nutzen, die neue Legacy-Funktion Zahlenbasierte Abfrage-IDs deaktivieren zu aktivieren.

So aktivieren Sie Zahlenbasierte Abfrage-IDs nicht zulassen:

1. Klicken Sie im Looker-Verwaltungsmenü auf Verwaltung > Legacy.

2. Aktivieren Sie die Option Zahlenfolgen für Abfrage-IDs deaktivieren:

   

Patch für Looker (Google Cloud Core)-Instanzen aktivieren

Der Patch wird automatisch auf allen Looker (Google Cloud Core)-Instanzen aktiviert. Sie müssen nichts tun, um den Patch zu aktivieren. Aktualisieren Sie jedoch alle API-Scripts, die einen der aktualisierten API-Endpunkte enthalten.

Patch auf vom Kunden gehosteten Instanzen aktivieren

Alle von Kunden gehosteten Instanzen sollten ihre Looker-Instanz auf eine Version von Looker aktualisieren, die den neuesten Patch enthält. Dieser Patch ist in der neuesten Aktualisierung der Looker-Versionen 23.18, 23.20, 24.0 und 24.2 sowie der ESR 23.0, 23.6, 23.12 und 24.0 enthalten. Aktualisieren Sie alle API-Scripts, die einen der aktualisierten API-Endpunkte enthalten, bevor Sie Ihre Looker-Instanz aktualisieren.

Wie finde ich heraus, ob wir einen der aktualisierten API-Endpunkte verwenden?

Im explorativen Analysetool API-Nutzung – Systemaktivität finden Sie eine Liste der API-Aufrufe, die an Ihre Looker-Instanz gesendet wurden.

1. Wählen Sie im Looker-Menü Explore (Explore) die explorative Datenanalyse Systemaktivität und dann die Ansicht API-Nutzung aus.

2. Wählen Sie die Dimensionen Erstellungsdatum > Datum, Endpunkt und den Messwert Nutzung insgesamt aus.

3. Fügen Sie der Dimension Endpunkt einen Filter hinzu und fügen Sie im Filterfeld die folgenden Endpunkte ein:

   • /queries/:query_id
   • /render_tasks/queries/:query_id/:result_format
   • /running_queries

4. Klicken Sie auf Ausführen. In Looker werden Nutzungsinformationen für diese Endpunkte angezeigt.

   

Was kann ich tun, wenn ich mehr Zeit für die Aktualisierung meiner API-Scripts benötige?

Wenden Sie sich bis spätestens 21. Februar um 17:00 Uhr (UTC−8) an den Looker-Support und teilen Sie uns mit, dass Sie die veraltete Funktion Zahlenbasierte Abfrage-IDs nicht zulassen deaktivieren möchten, bis Sie Ihre API-Scripts aktualisieren können.

Müssen die betroffenen Parteien zusätzlich zu den von mir erforderlichen Maßnahmen weitere Schritte unternehmen, um mögliche negative Auswirkungen zu mindern?

Nein

Welche Maßnahmen ergreift Looker, um ähnliche Probleme in Zukunft zu vermeiden?

Looker und Google haben ein robustes Sicherheitsprogramm, um Sicherheitslücken proaktiv zu verhindern und intern zu erkennen. Weitere Informationen finden Sie unter https://cloud.google.com/looker/product/security.

Hat Looker die Aufsichtsbehörden informiert?

Looker hält sich bei der Offenlegung von Vorfällen dieser Art an alle geltenden regulatorischen Anforderungen.