Aviso de patch da API Looker Query ID

O Looker disponibilizou uma atualização de segurança obrigatória para evitar o risco de exposição de metadados entre usuários autenticados do Looker que compartilham o mesmo modelo do LookML. Para ativar a mitigação na sua instância, talvez seja necessário mudar o uso de determinados endpoints de API. Esse patch afeta todas as versões compatíveis do Looker listadas no documento Versões oficialmente compatíveis.

O que mudou?

O Looker aplicou uma atualização de segurança obrigatória ao seu sistema. Devido à mudança no comportamento de alguns endpoints de API, você vai precisar ativar a atualização de segurança e ajustar o uso das APIs atualizadas para evitar erros nos scripts.

Para instâncias hospedadas pelo Looker, esse patch adiciona um novo recurso legado chamado Não permitir IDs de consulta numérica. Quando ativado, esse recurso legado causa mudanças no uso dos seguintes endpoints de API:

Para instâncias hospedadas pelo cliente, as alterações endpoint de API anteriores serão ativadas quando a instância for atualizada para uma versão do Looker que inclua esse patch.

O que eu preciso fazer?

O Google Cloud recomenda que todos os clientes realizem as duas ações a seguir:

Atualizar scripts de API

Se você estiver usando um dos endpoints de API listados a seguir, talvez precise tomar medidas independentemente da versão do Looker ou da API usada. A ação recomendada varia dependendo do uso da API 3.0, API 3.1 ou API 4.0.

  • GET /queries/<query_id>
  • POST /render_tasks/queries/<query_id>/<result_format>
  • GET /running_queries

Se você estiver usando a API 4.0

Se você estiver usando a API 4.0 e um dos endpoints listados na seção anterior, faça as seguintes alterações no código do aplicativo:

  • Substitua os query_ids numéricos (por exemplo, 32, 124 etc.) usados com os endpoints GET /queries/<query_id> ou POST /render_tasks/queries/<query_id>/<result_format> pelo valor de slug para a consulta. Para instruções sobre como encontrar o valor do slug de uma consulta, consulte a seção "Como encontrar o valor do slug de uma consulta?".
  • Todos os aplicativos que usarem o endpoint GET /running_queries serão restritos apenas aos administradores do Looker.

Se você estiver usando a API 3.0 ou 3.1

Se você estiver usando a API 3.0 ou a API 3.1 e um dos endpoints listados na seção anterior, faça as seguintes alterações no código do aplicativo:

  • O endpoint GET /queries/<query_id> não vai mais funcionar. Substitua o endpoint GET /queries/<query_id> pelo endpoint GET /queries/slug/<slug> para recuperar os mesmos metadados de consulta que você recebia antes. Para instruções sobre como encontrar o valor do slug de uma consulta, consulte a seção "Como encontrar o valor do slug de uma consulta?".
  • O endpoint POST /render_tasks/queries/<query_id>/<result_format> não vai mais funcionar. Os SDKs do Looker com suporte à API 3.1 vão oferecer suporte às APIs 3.1 e 4.0. Se você não estiver usando um dos SDKs do Looker, modifique http request path para usar a versão 4.0 em vez da 3.1 nessa chamada. Em seguida, substitua qualquer query_ids numérico (por exemplo, 32, 124 etc.) pelo valor de slug para a consulta. Para instruções sobre como encontrar o valor do slug de uma consulta, consulte a seção "Como encontrar o valor do slug de uma consulta?".
  • Todos os aplicativos que usarem o endpoint GET /running_queries serão restritos apenas aos administradores do Looker.

Como encontrar o valor do slug de uma consulta?

É possível encontrar o valor do slug de uma consulta das seguintes maneiras:

  • Para uma Análise, você pode encontrar o slug no URL dela após a variável qid= no URL.

  • Você pode encontrar o valor do slug usando o associado a um ID numérico de consulta usando a Atividade do sistema.

    1. No menu "Explorar" do Looker, selecione Atividade do sistema > Histórico Explorar.

    2. Na visualização Consulta, selecione as dimensões ID e Link.

    3. Se quiser, adicione um filtro à dimensão ID e insira o ID numérico dela no campo ID da consulta.

    4. Clique em Run.

    5. Clique no link [Query] ao lado do ID numérico da consulta nos resultados da Análise para abrir uma Análise baseada no ID numérico da consulta.

    6. Você pode usar o slug no URL da Análise, que vem depois da variável qid= no URL.

Como ativar o patch em instâncias (original) hospedadas pelo Looker

O Google Cloud recomenda que todos os clientes hospedados pelo Looker ativem o novo recurso legado Não permitir o ID de consulta numérico.

Para ativar Não permitir IDs numéricos de consulta:

  1. Acesse o painel Administrador > Legado no menu Administrador do Looker.

  2. Ative o botão Não permitir IDs numéricos de consulta:

Ativar o patch nas instâncias do Looker (Google Cloud Core)

O patch é ativado automaticamente em todas as instâncias do Looker (Google Cloud Core). Não é preciso fazer nada para ativar o patch, mas você precisa atualizar os scripts de API que incluem os endpoints de API atualizados.

Como ativar o patch em instâncias hospedadas pelo cliente

Todas as instâncias hospedadas pelo cliente precisam atualizar as instâncias do Looker para uma versão do Looker que inclua o patch mais recente. Esse patch está incluído na atualização mais recente para as versões 23.18, 23.20, 24.0 e 24.2 e para as versões ESR 23.0, 23.6, 23.12 e 24.0 do Looker. Atualize todos os scripts de API que incluem um dos endpoints de API atualizados antes de atualizar sua instância do Looker.

Como saber se usamos algum dos endpoints de API atualizados?

É possível conferir uma lista das chamadas de API feitas para sua instância do Looker com a Análise da atividade do sistema de uso da API.

  1. No menu Explorar do Looker, selecione Explorar em Atividade do sistema e depois a visualização Uso da API.

  2. Selecione as dimensões Data de criação > Data e Endpoint, além da medida Uso total.

  3. Adicione um filtro na dimensão Endpoint e inclua os seguintes endpoints no campo do filtro:

    • /queries/:query_id
    • /render_tasks/queries/:query_id/:result_format
    • /running_queries
  4. Clique em Run. O Looker vai mostrar as informações de uso desses endpoints.

O que fazer se eu precisar de mais tempo para atualizar meus scripts de API?

Entre em contato com o suporte do Looker até 21 de fevereiro, às 17h (horário do Pacífico), e informe que você gostaria de desativar o recurso legado Não permitir IDs numéricos de consulta até que você possa atualizar seus scripts de API.

Há outras etapas, além do que eu preciso fazer para esse incidente, que as partes afetadas precisam realizar para reduzir possíveis efeitos adversos?

Não

Quais medidas o Looker está tomando para evitar problemas semelhantes no futuro?

O Looker e o Google mantêm um programa de segurança robusto para prevenir e identificar proativamente falhas de segurança internamente. Confira mais informações em https://cloud.google.com/looker/product/security.

O Looker informou reguladores?

O Looker segue todos os requisitos regulamentares adequados relacionados a divulgações desses tipos de problemas.