Nakon tri godine razvoja Predstavljeno je izdanje nove stabilne verzije Squid 5.1 proxy servera koji je spreman za upotrebu u proizvodnim sistemima (verzije 5.0.x su bile beta).
Nakon što 5.x grananje dovede u stabilno stanje, Od sada će se vršiti samo ispravke za ranjivosti i probleme sa stabilnošću, a manje optimizacije će također biti dozvoljene. Razvoj novih funkcija će se obaviti u novoj eksperimentalnoj grani 6.0. Korisnici prethodne 4.x stabilne grane se ohrabruju da planiraju migraciju na granu 5.x.
Glavne nove karakteristike Squid 5.1
U ovoj novoj verziji podrška za Berkeley DB format je zastarjela zbog problema s licenciranjem. Berkeley DB 5.x grana je bila neupravljana nekoliko godina i još uvijek ima nezakrpljene ranjivosti, a nadogradnja na novije verzije vam ne dozvoljava promjenu AGPLv3 licence, čiji zahtjevi se odnose i na aplikacije koje koriste BerkeleyDB u obliku biblioteke. – Squid je objavljen pod GPLv2 licencom i AGPL je nekompatibilan sa GPLv2.
Umjesto Berkeley DB, projekat je portiran da koristi TrivialDB DBMS, koji je, za razliku od Berkeley DB, optimiziran za istovremeni paralelni pristup bazi podataka. Podrška za Berkeley DB je za sada zadržana, ali se sada preporučuje korištenje tipa skladišta "libtdb" umjesto "libdb" u drajverima "ext_session_acl" i "ext_time_quota_acl".
Dodatno, dodana je podrška za HTTP zaglavlje CDN-Loop, definirano u RFC 8586, koje omogućava otkrivanje petlji pri korištenju mreža za isporuku sadržaja (zaglavlje pruža zaštitu od situacija u kojima se zahtjev, tokom preusmjeravanja između CDN-ova iz nekog razloga, vraća na originalni CDN, formirajući beskonačnu petlju).
Sa druge strane, SSL-Bump mehanizam, koji omogućava presretanje sadržaja šifrovanih HTTPS sesija, hDodata podrška za preusmjeravanje krivotvorenih HTTPS zahtjeva preko drugih servera proxy naveden u cache_peer koristeći običan tunel zasnovan na metodi HTTP CONNECT (prijenos preko HTTPS-a nije podržan, jer Squid još ne može prenijeti TLS unutar TLS-a).
SSL-Bump omogućava, po dolasku prvog presretnutog HTTPS zahtjeva, uspostavljanje TLS veze sa odredišnim serverom i dobijete njegov certifikat. nakon toga, Squid koristi ime hosta stvarno primljenog certifikata sa servera i kreira lažni certifikat, sa kojim imitira traženi server prilikom interakcije sa klijentom, dok nastavlja da koristi TLS vezu uspostavljenu sa odredišnim serverom za primanje podataka.
Također se ističe da je implementacija protokola ICAP (Internet Content Adaptation Protocol), koji se koristi za integraciju sa eksternim sistemima za verifikaciju sadržaja, dodata podrška za mehanizam pričvršćivanja podataka koji omogućava da se dodatna zaglavlja metapodataka pridruže odgovoru, postavljena iza poruke. tijelo.
Umjesto da uzmete u obzir postavku "dns_v4_first".» za određivanje redoslijeda korištenja IPv4 ili IPv6 familije adresa, sada se uzima u obzir redosled odgovora u DNS-u- Ako se DNS AAAA odgovor pojavi prvi dok se čeka na razlučivanje IP adrese, koristit će se rezultirajuća IPv6 adresa. Stoga se preferirana konfiguracija porodice adresa sada radi u zaštitnom zidu, DNS-u ili pri pokretanju sa opcijom “–disable-ipv6”.
Predložena promjena će ubrzati vrijeme postavljanja za TCP veze i smanjiti učinak kašnjenja DNS rezolucije na performanse.
Prilikom preusmjeravanja zahtjeva koristi se algoritam “Happy Eyeballs”, koji odmah koristi primljenu IP adresu, bez čekanja da se razriješe sve potencijalno dostupne odredišne IPv4 i IPv6 adrese.
Za upotrebu u "external_acl" direktivi, rukovatelj "ext_kerberos_sid_group_acl" je dodan za autentifikaciju sa grupama za verifikaciju u Active Directory koristeći Kerberos. Uslužni program ldapsearch koji pruža OpenLDAP paket koristi se za upit imena grupe.
Dodane direktive mark_client_connection i mark_client_pack za povezivanje Netfilter oznaka (CONNMARK) na klijentske TCP veze ili pojedinačne pakete
Na kraju se spominje da slijedeći korake objavljenih verzija Squid 5.2 i Squid 4.17 ispravljene su ranjivosti:
- CVE-2021-28116 – Curenje informacija prilikom obrade posebno kreiranih WCCPv2 poruka. Ranjivost omogućava napadaču da pokvari listu poznatih WCCP rutera i preusmeri saobraćaj sa proxy klijenta na njegov host. Problem se manifestuje samo u konfiguracijama sa omogućenom podrškom za WCCPv2 i kada je moguće lažirati IP adresu rutera.
- CVE-2021-41611 – Greška pri validaciji TLS sertifikata koji dozvoljavaju pristup preko nepouzdanih sertifikata.
Napokon, ako želite znati više o tome, možete provjeriti detalje Na sledećem linku.