След три години на развитие Издадена е стабилна версия на прокси сървър Squid 5.1 която е готова за използване в производствени системи (версии 5.0.x бяха бета).
След като направи клон 5.x стабилен, отсега нататък ще се правят само корекции за уязвимости и проблеми със стабилността, ще бъдат разрешени и малки оптимизации. Разработването на нови функции ще се извършва в новия експериментален клон 6.0. Потребителите на по -стария стабилен клон 4.x се насърчават да планират миграция към клона 5.x.
Squid 5.1 Основни нови функции
В тази нова версия Поддръжката на формат Berkeley DB е оттеглена поради проблеми с лицензирането. Клонът на Berkeley DB 5.x не се управлява от няколко години и продължава да има неизправени уязвимости, а надстройката до по -нови версии не позволява промяна на лиценза AGPLv3, чиито изисквания важат и за приложения, използващи BerkeleyDB под формата на библиотека. - Калмарите се издават под лиценза GPLv2 и AGPL е несъвместим с GPLv2.
Вместо Berkeley DB, проектът беше прехвърлен за използване на СУБД TrivialDB, който, за разлика от Berkeley DB, е оптимизиран за едновременен паралелен достъп до базата данни. Поддръжката на Berkeley DB засега се поддържа, но сега се препоръчва да се използва типът за съхранение „libtdb“ вместо „libdb“ в драйверите „ext_session_acl“ и „ext_time_quota_acl“.
Освен това беше добавена поддръжка за заглавката на HTTP CDN-Loop, дефинирана в RFC 8586, която позволява откриване на цикли при използване на мрежи за доставка на съдържание (заглавката осигурява защита срещу ситуации, при които заявка, по време на пренасочването между CDN по някаква причина, се връща към оригиналния CDN, образувайки безкраен цикъл).
Освен това, механизмът SSL-Bump, което позволява съдържанието на криптирани HTTPS сесии да бъде прихващано, здобавена поддръжка за пренасочване на измамени HTTPS заявки през други сървъри прокси, посочен в cache_peer, използвайки обикновен тунел, базиран на метода HTTP CONNECT (стриймингът по HTTPS не се поддържа, тъй като Squid все още не може да предава TLS в рамките на TLS).
SSL-Bump позволява при пристигане на първата прихваната HTTPS заявка да установи TLS връзка с целевия сървър и да получите неговия сертификат. Впоследствие, Squid използва името на хоста на действителния получен сертификат от сървъра и създайте фалшив сертификат, с която имитира искания сървър при взаимодействие с клиента, като същевременно продължава да използва TLS връзката, установена с целевия сървър за получаване на данни.
Подчертава се също, че прилагането на протокола ICAP (Протокол за адаптация на интернет съдържание), който се използва за интеграция с външни системи за проверка на съдържанието, добави поддръжка за механизма за прикачване на данни което позволява към отговора да се прикачат допълнителни заглавки на метаданни, поставени след съобщението. тяло.
Вместо да се вземе предвид „dns_v4_first»За да определите реда на използване на семейството адреси IPv4 или IPv6, сега се взема предвид редът на отговора в DNS- Ако отговорът AAAA от DNS се появи първи, докато чакате разрешаване на IP адрес, ще се използва получения IPv6 адрес. Следователно предпочитаната настройка на семейство адреси сега се прави в защитната стена, DNS или при стартиране с опцията „–disable-ipv6“.
Предложената промяна ще ускори времето за конфигуриране на TCP връзки и ще намали въздействието на забавянията при разрешаването на DNS.
При пренасочване на заявки се използва алгоритъмът „Happy Eyeballs“, който незабавно използва получения IP адрес, без да чака всички потенциално налични дестинации IPv4 и IPv6 адреси да бъдат разрешени.
За използване в директивата "external_acl" е добавен драйверът "ext_kerberos_sid_group_acl" за удостоверяване с групи за проверка в Active Directory с помощта на Kerberos. Помощната програма ldapsearch, предоставена от пакета OpenLDAP, се използва за запитване към името на групата.
Добавени директиви mark_client_connection и mark_client_pack за свързване на тагове Netfilter (CONNMARK) към отделни пакети или клиентски TCP връзки
Накрая се споменава, че следвайки стъпките на пуснатите версии на Squid 5.2 и Squid 4.17 бяха отстранени уязвимости:
- CVE-2021-28116-Изтичане на информация при обработка на специално създадени WCCPv2 съобщения. Уязвимостта позволява на нападател да повреди списъка с известни WCCP рутери и да пренасочи трафика от прокси клиента към хоста му. Проблемът се проявява само в конфигурации с активирана поддръжка на WCCPv2 и когато е възможно да се излъже IP адресът на рутера.
- CVE-2021-41611: грешка при валидиране на TLS сертификати, които позволяват достъп с помощта на ненадеждни сертификати.
И накрая, ако искате да научите повече за това, можете да проверите подробностите В следващия линк.