Squid 5.1 saapuu kolmen vuoden kehityksen jälkeen ja nämä ovat sen uutuuksia

Kolmen vuoden kehityksen jälkeen Squid 5.1 -välityspalvelimen uuden vakaan version julkaisu on esitelty joka on valmis käytettäväksi tuotantojärjestelmissä (versiot 5.0.x olivat beta).

Kun olet tehnyt 5.x -haarasta vakaan, tästä lähtien vain korjauksia tehdään haavoittuvuuksiin ja vakausongelmiinja pienet optimoinnit ovat myös sallittuja. Uusia toimintoja kehitetään uudessa koehaarassa 6.0. Vanhemman 4.x -vakaan haaran käyttäjiä kannustetaan suunnittelemaan siirtyminen 5.x -haaraan.

Squid 5.1 Tärkeimmät uudet ominaisuudet

Tässä uudessa versiossa Berkeley DB -muodon tuki on poistettu käytöstä lisenssiongelmien vuoksi. Berkeley DB 5.x -haaraa ei ole hallittu useaan vuoteen, ja siinä on edelleen korjaamattomia haavoittuvuuksia, ja päivittäminen uudempiin versioihin ei salli AGPLv3 -lisenssin muuttamista, jonka vaatimukset koskevat myös sovelluksia, jotka käyttävät BerkeleyDB: tä kirjaston muodossa. - Squid julkaistaan ​​GPLv2 -lisenssillä ja AGPL ei ole yhteensopiva GPLv2: n kanssa.

Berkeley DB: n sijasta projekti siirrettiin käyttämään TrivialDB DBMS: ää, joka, toisin kuin Berkeley DB, on optimoitu samanaikaiseen pääsyyn tietokantaan. Berkeley DB -tuki säilyy toistaiseksi, mutta on suositeltavaa käyttää "libtdb" -tallennustyyppiä "libdb": n sijaan "ext_session_acl" - ja "ext_time_quota_acl" -ohjaimissa.

Lisäksi lisättiin tuki RFC 8586: ssa määritetylle HTTP CDN-Loop -otsakkeelle, joka mahdollistaa silmukoiden havaitsemisen käytettäessä sisällön toimitusverkkoja (ylätunniste suojaa tilanteilta, joissa pyyntö palaa CDN: ien välillä uudelleen jostain syystä alkuperäiseen CDN: ään muodostaen äärettömän silmukan).

Lisäksi, SSL-Bump-mekanismi, joka mahdollistaa salattujen HTTPS -istuntojen sisällön sieppaamisen, hlisätuki väärennettyjen HTTPS -pyyntöjen uudelleenohjaamiseen muiden palvelimien kautta välimuisti, joka on määritetty välimuistissa_peer käyttämällä tavallista tunnelia, joka perustuu HTTP CONNECT -menetelmään (suoratoistoa HTTPS: n kautta ei tueta, koska Squid ei voi vielä suoratoistaa TLS: ää TLS: ssä).

SSL-Bump mahdollistaa TLS-yhteyden muodostamisen ensimmäisen siepatun HTTPS-pyynnön saapuessa kohdepalvelimen kanssa ja hanki sen varmenne. Myöhemmin, Squid käyttää varsinaisen vastaanotetun varmenteen isäntänimeä palvelimelta ja luo väärennetty varmenne, jonka kanssa se jäljittelee pyydettyä palvelinta vuorovaikutuksessa asiakkaan kanssa, samalla kun edelleen käytetään kohdepalvelimen kanssa muodostettua TLS -yhteyttä tietojen vastaanottamiseen.

On myös korostettava, että pöytäkirjan täytäntöönpano ICAP (Internet Content Adaptation Protocol), jota käytetään integrointiin ulkoisten sisällön vahvistusjärjestelmien kanssa, on lisännyt tukea tietojen kiinnitysmekanismille jonka avulla voit liittää vastaukseen lisää metatietootsikoita viestin jälkeen. vartalo.

Sen sijaan, että ottaisit huomioon "dns_v4_first»IPv4- tai IPv6 -osoiteperheen käyttöjärjestyksen määrittämiseksi nyt DNS: n vastausjärjestys otetaan huomioon- Jos DNS: n AAAA -vastaus ilmestyy ensimmäisenä odottaessaan IP -osoitteen ratkeamista, tuloksena olevaa IPv6 -osoitetta käytetään. Siksi ensisijainen osoiteperheasetus tehdään nyt palomuurissa, DNS: ssä tai käynnistyksen yhteydessä "–disable-ipv6" -vaihtoehdolla.
Ehdotettu muutos nopeuttaa TCP -yhteyksien määrittämiseen kuluvaa aikaa ja vähentää DNS -ratkaisujen viiveiden suorituskykyvaikutuksia.

Pyynnön uudelleenohjauksessa käytetään "Happy Eyeballs" -algoritmia, joka käyttää vastaanotettua IP -osoitetta välittömästi odottamatta, että kaikki mahdollisesti saatavilla olevat IPv4- ja IPv6 -kohdeosoitteet ratkaistaan.

"External_acl" -direktiivin käyttöä varten "ext_kerberos_sid_group_acl" -ohjain on lisätty todennusta varten Active Directoryn vahvistusryhmien avulla Kerberosia käyttäen. Ryhmän nimen kyselemiseen käytetään OpenLDAP -paketin tarjoamaa ldapsearch -apuohjelmaa.

Lisätty mark_client_connection- ja mark_client_pack -direktiivit sitomaan Netfilter (CONNMARK) -tunnisteet yksittäisiin paketteihin tai asiakkaan TCP -yhteyksiin

Lopuksi mainitaan, että Squid 5.2: n ja Squid 4.17: n julkaistujen versioiden vaiheiden mukaisesti haavoittuvuudet korjattiin:

  • CVE-2021-28116-Tietovuoto käsiteltäessä erityisesti muotoiltuja WCCPv2-viestejä. Haavoittuvuuden avulla hyökkääjä voi turmella tunnettujen WCCP -reitittimien luettelon ja ohjata liikenteen välityspalvelimesta isäntäänsä. Ongelma ilmenee vain kokoonpanoissa, joissa WCCPv2 -tuki on käytössä, ja kun on mahdollista huijata reitittimen IP -osoite.
  • CVE-2021-41611: virhe vahvistettaessa TLS-varmenteita, jotka sallivat pääsyn epäluotettujen varmenteiden avulla.

Lopuksi, jos haluat tietää enemmän siitä, voit tarkistaa yksityiskohdat Seuraavassa linkissä.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.