Μετά από τρία χρόνια ανάπτυξης κυκλοφόρησε η νέα σταθερή έκδοση του διακομιστή μεσολάβησης Squid 5.1 που είναι έτοιμο για χρήση σε συστήματα παραγωγής (οι εκδόσεις 5.0.x ήταν beta).
Αφού καταστήσετε τον κλάδο 5.x σταθερό, στο εξής, θα γίνονται μόνο διορθώσεις για θέματα ευπάθειας και σταθερότητας, και θα επιτρέπονται επίσης μικρές βελτιστοποιήσεις. Η ανάπτυξη νέων συναρτήσεων θα γίνει στον νέο πειραματικό κλάδο 6.0. Οι χρήστες του παλαιότερου σταθερού κλάδου 4.x ενθαρρύνονται να προγραμματίσουν τη μετάβαση στον κλάδο 5.x.
Squid 5.1 Κύρια νέα χαρακτηριστικά
Σε αυτήν τη νέα έκδοση Η υποστήριξη μορφής DB Berkeley έχει καταργηθεί λόγω προβλημάτων αδειοδότησηςΤο Το υποκατάστημα Berkeley DB 5.x δεν έχει διαχειριστεί εδώ και αρκετά χρόνια και εξακολουθεί να έχει αδυναμίες που δεν έχουν προσαρμοστεί και η αναβάθμιση σε νεότερες εκδόσεις δεν επιτρέπει την αλλαγή της άδειας AGPLv3, οι απαιτήσεις της οποίας ισχύουν επίσης για εφαρμογές που χρησιμοποιούν BerkeleyDB με τη μορφή βιβλιοθήκης. - Το Squid κυκλοφορεί με άδεια GPLv2 και το AGPL δεν είναι συμβατό με το GPLv2.
Αντί για το Berkeley DB, το έργο μεταφέρθηκε για να χρησιμοποιήσει το TrivialDB DBMS, το οποίο, σε αντίθεση με το Berkeley DB, είναι βελτιστοποιημένο για ταυτόχρονη παράλληλη πρόσβαση στη βάση δεδομένων. Η υποστήριξη Berkeley DB διατηρείται προς το παρόν, αλλά τώρα συνιστάται η χρήση του τύπου αποθήκευσης "libtdb" αντί για "libdb" στα προγράμματα οδήγησης "ext_session_acl" και "ext_time_quota_acl".
Επιπλέον, προστέθηκε υποστήριξη για την κεφαλίδα HTTP CDN-Loop, όπως ορίζεται στο RFC 8586, η οποία επιτρέπει τον εντοπισμό βρόχων κατά τη χρήση δικτύων παράδοσης περιεχομένου (η κεφαλίδα παρέχει προστασία από καταστάσεις στις οποίες ένα αίτημα, κατά την ανακατεύθυνση μεταξύ CDN για κάποιο λόγο, επιστρέφει στο αρχικό CDN, σχηματίζοντας έναν άπειρο βρόχο).
Επιπλέον, ο μηχανισμός SSL-Bump, που επιτρέπει την υποκλοπή του περιεχομένου των κρυπτογραφημένων συνεδριών HTTPS, hμια πρόσθετη υποστήριξη για ανακατεύθυνση πλαστών αιτημάτων HTTPS μέσω άλλων διακομιστών διακομιστής μεσολάβησης που καθορίζεται στο cache_peer χρησιμοποιώντας κανονική σήραγγα βασισμένη στη μέθοδο HTTP CONNECT (η ροή μέσω HTTPS δεν υποστηρίζεται καθώς το Squid δεν μπορεί ακόμη να μεταδώσει TLS εντός TLS).
Το SSL-Bump επιτρέπει, κατά την άφιξη του πρώτου αιτήματος HTTPS, να δημιουργήσει μια σύνδεση TLS με τον διακομιστή προορισμού και λάβετε το πιστοποιητικό του. Ακολούθως, Το Squid χρησιμοποιεί το όνομα κεντρικού υπολογιστή του πραγματικού ληφθέντος πιστοποιητικού από το διακομιστή και δημιουργήστε ένα πλαστό πιστοποιητικό, με τον οποίο μιμείται τον απαιτούμενο διακομιστή κατά την αλληλεπίδραση με τον πελάτη, ενώ συνεχίζετε να χρησιμοποιείτε τη σύνδεση TLS που έχει δημιουργηθεί με τον διακομιστή προορισμού για τη λήψη δεδομένων.
Επισημαίνεται επίσης ότι η εφαρμογή του πρωτοκόλλου ICAP (Πρωτόκολλο προσαρμογής περιεχομένου στο Διαδίκτυο), το οποίο χρησιμοποιείται για ενσωμάτωση με εξωτερικά συστήματα επαλήθευσης περιεχομένου, έχει προσθέσει υποστήριξη για τον μηχανισμό επισύναψης δεδομένων που επιτρέπει την προσθήκη πρόσθετων κεφαλίδων μεταδεδομένων στην απάντηση, τοποθετημένη μετά το μήνυμα. σώμα.
Αντί να λάβετε υπόψη το "dns_v4_first»Για να καθορίσετε τη σειρά χρήσης της οικογένειας διευθύνσεων IPv4 ή IPv6, τώρα λαμβάνεται υπόψη η σειρά της απόκρισης στο DNS- Εάν η απάντηση AAAA από το DNS εμφανιστεί πρώτα ενώ περιμένετε να επιλυθεί μια διεύθυνση IP, θα χρησιμοποιηθεί η προκύπτουσα διεύθυνση IPv6. Επομένως, η προτιμώμενη ρύθμιση οικογένειας διευθύνσεων γίνεται τώρα στο τείχος προστασίας, DNS ή κατά την εκκίνηση με την επιλογή "–disable-ipv6".
Η προτεινόμενη αλλαγή θα επιταχύνει το χρόνο διαμόρφωσης συνδέσεων TCP και θα μειώσει τον αντίκτυπο στην απόδοση των καθυστερήσεων στην ανάλυση DNS.
Κατά την ανακατεύθυνση αιτημάτων, χρησιμοποιείται ο αλγόριθμος "Happy Eyeballs", που χρησιμοποιεί αμέσως τη ληφθείσα διεύθυνση IP, χωρίς να περιμένει να επιλυθούν όλες οι δυνητικά διαθέσιμες διευθύνσεις IPv4 και IPv6 προορισμού.
Για χρήση στην οδηγία "external_acl", το πρόγραμμα οδήγησης "ext_kerberos_sid_group_acl" προστέθηκε για έλεγχο ταυτότητας με ομάδες επαλήθευσης στην Active Directory χρησιμοποιώντας το Kerberos. Το βοηθητικό πρόγραμμα ldapsearch που παρέχεται από το πακέτο OpenLDAP χρησιμοποιείται για να ζητήσει το όνομα της ομάδας.
Προστέθηκαν οδηγίες mark_client_connection και mark_client_pack για τη σύνδεση ετικετών Netfilter (CONNMARK) σε μεμονωμένα πακέτα ή συνδέσεις πελάτη TCP
Τέλος αναφέρεται ότι ακολουθώντας τα βήματα των εκδοθέντων εκδόσεων του Squid 5.2 και του Squid 4.17 Διορθώθηκαν τα τρωτά σημεία:
- CVE-2021-28116-Διαρροή πληροφοριών κατά την επεξεργασία ειδικά δημιουργημένων μηνυμάτων WCCPv2. Η ευπάθεια επιτρέπει σε έναν εισβολέα να καταστρέψει τη λίστα με τους γνωστούς δρομολογητές WCCP και να ανακατευθύνει την επισκεψιμότητα από τον πελάτη μεσολάβησης στον κεντρικό υπολογιστή του. Το πρόβλημα εκδηλώνεται μόνο σε διαμορφώσεις με ενεργοποιημένη την υποστήριξη WCCPv2 και όταν είναι δυνατή η παραποίηση της διεύθυνσης IP του δρομολογητή.
- CVE-2021-41611: σφάλμα κατά την επικύρωση πιστοποιητικών TLS που επιτρέπουν την πρόσβαση χρησιμοποιώντας μη αξιόπιστα πιστοποιητικά.
Τέλος, αν θέλετε να μάθετε περισσότερα για αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.