5.1 txipiroia hiru urteko garapenaren ondoren iristen da eta hauek dira bere berritasunak

Hiru urteko garapenaren ondoren Squid 5.1 Proxy Server Stable Release kaleratu da produkzio sistemetan erabiltzeko prest dagoena (5.0.x bertsioak beta ziren).

5.x adarra egonkorra egin ondoren, hemendik aurrera, ahultasun eta egonkortasun arazoetarako konponketak bakarrik egingo dira, eta optimizazio txikiak ere onartuko dira. Funtzio berrien garapena 6.0 adar esperimental berrian egingo da. 4.x adar egonkorraren erabiltzaileak 5.x adarrerako migrazioa planifikatzera animatzen dira.

Squid 5.1 ezaugarri berri nagusiak

Bertsio berri honetan Berkeley DB formatuaren laguntza zaharkituta dago lizentzia emateko arazoak direla eta. Berkeley DB 5.x sukurtsala duela zenbait urte ez da kudeatzen eta adabaki gabeko ahultasunak izaten jarraitzen du, eta bertsio berriagoetara eguneratzeak ez du AGPLv3 lizentzia aldatzea onartzen, eta horren baldintzak BerkeleyDB liburutegi moduan erabiltzen dituzten aplikazioei ere aplikatzen zaizkie. - Txipiroiak GPLv2 lizentziarekin askatzen dira eta AGPL bateraezina da GPLv2rekin.

Berkeley DB-ren ordez, proiektua TrivialDB DBMS erabiltzeko egin zen. hau da, Berkeley DB ez bezala, datu-basera aldi berean sartzeko paraleloa optimizatuta dago. Berkeley DB laguntza oraingoz mantentzen da, baina orain "libtdb" biltegiratze mota "libdb" erabiltzea gomendatzen da "ext_session_acl" eta "ext_time_quota_acl" kontrolatzaileetan.

Gainera, laguntza gehitu zen RFC 8586-n definitutako HTTP CDN-Loop goibururako, begiztak detektatzeko aukera ematen baitu edukia banatzeko sareak erabiltzerakoan (goiburuak babes bat ematen du eskaera batek, CDNen arteko birbideratzean, arrazoiren batengatik itzultzen duenean CDN originalera, begizta infinitua osatuz).

Bestalde, SSL-Bump mekanismoa, horrek enkriptatutako HTTPS saioen edukia atzemateko aukera ematen du, hlaguntza gehigarria faltsututako HTTPS eskaerak beste zerbitzari batzuen bidez birbideratzeko cache_peer-en zehaztutako proxy-a HTTP CONNECT metodoan oinarritutako tunel arrunta erabiliz (HTTPS bidez erreproduzitzea ez da onartzen, Squid-ek ezin baitu TLS TLS bidez erreproduzitu oraindik).

SSL-Bump-ek, atzemandako lehen HTTPS eskaera heltzean, TLS konexioa ezartzeko aukera ematen du helmugako zerbitzariarekin eta lortu bere ziurtagiria. Ondoren, Squid-ek jasotako ziurtagiriaren ostalari-izena erabiltzen du zerbitzaritik eta ziurtagiri faltsu bat sortu, horrekin bezeroarekin elkarreraginean eskatutako zerbitzaria imitatzen du, helmugako zerbitzariarekin ezarritako TLS konexioa erabiltzen jarraitzeko datuak jasotzeko.

Protokoloaren ezarpena ere nabarmendu da ICAP (Interneteko edukia egokitzeko protokoloa), kanpoko edukia egiaztatzeko sistemekin integratzeko erabiltzen dena. datuak erantsi dituen mekanismorako laguntza gehitu du horrek metadatuen goiburu osagarriak erantzunari erantsi ahal izatea ahalbidetzen du, mezuaren ondoren kokatuta. gorputza.

"Dns_v4_first" kontuan hartu beharrean»IPv4 edo IPv6 helbide familiaren erabilera ordena zehazteko, orain DNSan erantzunaren ordena hartzen da kontuan- DNSren AAAA erantzuna lehenengo IP helbide bat noiz zain dagoen bitartean agertzen bada, ondorioz IPv6 helbidea erabiliko da. Hori dela eta, lehentasunezko helbide-familia ezarpena suebakian, DNSan edo abiaraztean "–disable-ipv6" aukerarekin egiten da.
Proposatutako aldaketak TCP konexioak konfiguratzeko denbora azkartuko du eta DNS ebazpenean atzerapenen errendimendua murriztuko du.

Eskaerak birbideratzerakoan, "Happy Eyeballs" algoritmoa erabiltzen da, jasotako IP helbidea berehala erabiltzen duena, balizko erabilgarri dauden IPv4 eta IPv6 helbide guztiak ebatzi arte itxaron gabe.

"External_acl" zuzentarauan erabiltzeko, "ext_kerberos_sid_group_acl" kontrolatzailea gehitu da Kerberos erabiliz Active Directory-ko egiaztapen taldeekin autentifikatzeko. OpenLDAP paketeak eskaintzen duen ldapsearch erabilgarritasuna taldearen izena kontsultatzeko erabiltzen da.

Mark_client_connection eta mark_client_pack zuzentarauak gehitu dira Netfilter (CONNMARK) etiketak lotzeko pakete indibidualetara edo bezeroaren TCP konexioetara

Azkenean, kaleratutako 5.2 eta 4.17 kaleratutako bertsioen urratsak jarraituz aipatzen da ahultasunak konpondu dira:

  • CVE-2021-28116 - Informazio ihesak bereziki landutako WCCPv2 mezuak prozesatzean. Ahultasunak aukera ematen dio erasotzaile bati WCCP bideratzaile ezagunen zerrenda hondatzeko eta trafikoa proxy bezeroetik bere ostalariari birbideratzeko. Arazoa WCCPv2 laguntza gaituta duten konfigurazioetan eta bideratzailearen IP helbidea faltsutzea posible denean bakarrik agertzen da.
  • CVE-2021-41611: errorea fidagarritasunik gabeko ziurtagiriak erabiliz sarbidea baimentzen duten TLS ziurtagiriak balidatzean.

Azkenean, horri buruz gehiago jakin nahi baduzu, xehetasunak kontsultatu ditzakezu Hurrengo estekan.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.