Després de tres anys de desenvolupament s'ha presentat l'alliberament de la nova versió estable del servidor intermediari Squid 5.1 la qual aquesta llista per al seu ús en sistemes de producció (les versions 5.0.x eren beta).
Després de fer que la branca 5.x tingui un estat estable, a partir d'ara, només es faran arranjaments per a vulnerabilitats i problemes d'estabilitat, i també es permetran optimitzacions menors. El desenvolupament de noves funcions es realitzarà a la nova branca experimental 6.0. S'anima els usuaris de la branca estable 4.x anterior a planificar una migració a la branca 5.x.
Principals novetats de Squid 5.1
En aquesta nova versió la compatibilitat amb el format Berkeley DB ha quedat obsoleta a causa de problemes de llicència. La branca Berkeley DB 5.x no s'ha administrat durant diversos anys i segueix tenint vulnerabilitats sense pegats, i l'actualització a versions més recents no permet canviar la llicència d'AGPLv3, els requisits dels quals també s'apliquen a les aplicacions que utilitzen BerkeleyDB en forma de biblioteca. – Squid es publica sota la llicència GPLv2 i AGPL és incompatible amb GPLv2.
En lloc de Berkeley DB, el projecte es va transferir per utilitzar TrivialDB DBMS, que, a diferència de Berkeley DB, està optimitzat per a l'accés paral·lel simultani a la base de dades. El suport de Berkeley DB es manté ara com ara, però ara es recomana utilitzar el tipus d'emmagatzematge «libtdb» en lloc de «libdb» als controladors «ext_session_acl» i «ext_time_quota_acl».
A més es va afegir suport per a la capçalera HTTP CDN-Loop, definit en RFC 8586, que permet detectar bucles quan s'utilitzen xarxes de lliurament de contingut (l'encapçalament brinda protecció contra situacions en què una sol·licitud, durant la redirecció entre CDN per alguna raó , torna a la CDN original, formant un bucle infinit).
D'altra banda, el mecanisme SSL-Bump, que permet interceptar el contingut de sessions HTTPS encriptades, ha agregat suport per redirigir sol·licituds HTTPS falsificades a través d'altres servidors proxy especificats a cache_peer usant un túnel regular basat en el mètode HTTP CONNECT ( la transmissió a través de HTTPS no és compatible, ja que Squid encara no pot transmetre TLS dins de TLS).
SSL-Bump permet, en arribar la primera sol·licitud HTTPS interceptada, establir una connexió TLS amb el servidor de destinació i obtenir el certificat. Posteriorment, Squid utilitza el nom de host del certificat real rebut del servidor i crea un certificat fals, amb el qual imita el servidor sol·licitat en interactuar amb el client, mentre continueu usant la connexió TLS establerta amb el servidor de destinació per rebre dades.
També es destaca que la implementació del protocol ICAP (Internet Content Adaptation Protocol), que s'utilitza per a la integració amb sistemes de verificació de contingut externs, ha afegit suport per al mecanisme d'adjunt de dades que permet adjuntar capçaleres de metadades addicionals a la resposta, col·locats després del missatge. body.
En comptes de tenir en compte la configuració «dns_v4_first» per determinar l'ordre d'ús de la família d'adreces IPv4 o IPv6, ara es té en compte l'ordre de la resposta a DNS: si la resposta AAAA de DNS apareix primer mentre s'espera la resolució d'una adreça IP, s'utilitzarà l'adreça IPv6 resultant. Per tant, la configuració de la família d'adreces preferida ara es realitza al firewall, DNS oa l'inici amb l'opció “–disable-ipv6”.
El canvi proposat accelerarà el temps de configuració de les connexions TCP i reduirà limpacte en el rendiment dels retards en la resolució de DNS.
En redirigir les sol·licituds, s'utilitza l'algorisme «Happy Eyeballs», que utilitza immediatament l'adreça IP rebuda, sense esperar que es resolguin totes les adreces IPv4 i IPv6 de destinació potencialment disponibles.
Per utilitzar-lo a la directiva «external_acl», s'ha afegit el controlador «ext_kerberos_sid_group_acl» per a l'autenticació amb grups de verificació a l'Active Directory usant Kerberos. La utilitat ldapsearch proporcionada pel paquet OpenLDAP es fa servir per consultar el nom del grup.
S'han afegit les directives mark_client_connection i mark_client_pack per vincular les etiquetes Netfilter (CONNMARK) a les connexions TCP del client o paquets individuals
Finalment s'esmenta que seguint els passos de les versions publicades de Squid 5.2 i Squid 4.17 es van corregir les vulnerabilitats:
- CVE-2021-28116 : fugida d'informació en processar missatges WCCPv2 especialment dissenyats. La vulnerabilitat permet a un atacant corrompre la llista d'encaminadors WCCP coneguts i redirigir el trànsit del client intermediari al host. El problema es manifesta només en configuracions amb suport WCCPv2 habilitat i quan és possible falsificar l'adreça IP de l'encaminador.
- CVE-2021-41611 : error en validar els certificats TLS que permeten l'accés mitjançant certificats que no són de confiança.
Finalment si vols conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.