Après trois ans de développement la sortie de la nouvelle version stable du serveur proxy Squid 5.1 a été présentée qui est prêt à être utilisé sur les systèmes de production (les versions 5.0.x étaient bêta).
Après avoir rendu la branche 5.x stable, à partir de maintenant, seuls des correctifs seront apportés aux vulnérabilités et aux problèmes de stabilité, et des optimisations mineures seront également autorisées. Le développement de nouvelles fonctions se fera dans la nouvelle branche expérimentale 6.0. Les utilisateurs de l'ancienne branche stable 4.x sont encouragés à planifier une migration vers la branche 5.x.
Squid 5.1 Principales nouvelles fonctionnalités
Dans cette nouvelle version La prise en charge du format Berkeley DB a été dépréciée en raison de problèmes de licence. La branche Berkeley DB 5.x n'est plus gérée depuis plusieurs années et continue de présenter des vulnérabilités non corrigées, et la mise à niveau vers des versions plus récentes ne permet pas de changer la licence AGPLv3, dont les exigences s'appliquent également aux applications utilisant BerkeleyDB sous forme de bibliothèque. - Squid est publié sous la licence GPLv2 et AGPL est incompatible avec la GPLv2.
Au lieu de Berkeley DB, le projet a été reporté pour utiliser le SGBD TrivialDB, qui, contrairement à Berkeley DB, est optimisé pour un accès parallèle simultané à la base de données. Le support de Berkeley DB est maintenu pour le moment, mais il est maintenant recommandé d'utiliser le type de stockage "libtdb" au lieu de "libdb" dans les pilotes "ext_session_acl" et "ext_time_quota_acl".
De plus, la prise en charge a été ajoutée pour l'en-tête HTTP CDN-Loop, défini dans la RFC 8586, qui permet de détecter les boucles lors de l'utilisation de réseaux de diffusion de contenu (l'en-tête fournit une protection contre les situations dans lesquelles une requête, lors de la redirection entre CDN pour une raison quelconque, renvoie au CDN d'origine, formant une boucle infinie).
En outre, le mécanisme SSL-Bump, qui permet d'intercepter le contenu des sessions HTTPS chiffrées, hune prise en charge supplémentaire de la redirection des requêtes HTTPS falsifiées via d'autres serveurs proxy spécifié dans cache_peer à l'aide d'un tunnel standard basé sur la méthode HTTP CONNECT (le streaming via HTTPS n'est pas pris en charge car Squid ne peut pas encore diffuser TLS dans TLS).
SSL-Bump permet, à l'arrivée de la première requête HTTPS interceptée, d'établir une connexion TLS avec le serveur de destination et obtenir son certificat. Ensuite, Squid utilise le nom d'hôte du certificat réel reçu depuis le serveur et créer un faux certificat, avec lequel il imite le serveur demandé lors de l'interaction avec le client, tout en continuant à utiliser la connexion TLS établie avec le serveur de destination pour recevoir des données.
Il est également souligné que la mise en œuvre du protocole ICAP (Internet Content Adaptation Protocol), qui est utilisé pour l'intégration avec des systèmes de vérification de contenu externes, a ajouté la prise en charge du mécanisme de pièce jointe de données qui vous permet de joindre des en-têtes de métadonnées supplémentaires à la réponse, placés après le message. corps.
Au lieu de prendre en compte le "dns_v4_first»Pour déterminer l'ordre d'utilisation de la famille d'adresses IPv4 ou IPv6, maintenant l'ordre de la réponse dans DNS est pris en compte- Si la réponse AAAA du DNS apparaît en premier en attendant la résolution d'une adresse IP, l'adresse IPv6 résultante sera utilisée. Par conséquent, le réglage de la famille d'adresses préférée est maintenant effectué dans le pare-feu, DNS ou au démarrage avec l'option "–disable-ipv6".
Le changement proposé accélérera le temps de configuration des connexions TCP et réduira l'impact sur les performances des retards de résolution DNS.
Lors de la redirection des requêtes, l'algorithme "Happy Eyeballs" est utilisé, qui utilise immédiatement l'adresse IP reçue, sans attendre que toutes les adresses IPv4 et IPv6 de destination potentiellement disponibles soient résolues.
Pour une utilisation dans la directive "external_acl", le pilote "ext_kerberos_sid_group_acl" a été ajouté pour l'authentification avec des groupes de vérification dans Active Directory à l'aide de Kerberos. L'utilitaire ldapsearch fourni par le package OpenLDAP est utilisé pour interroger le nom du groupe.
Ajout des directives mark_client_connection et mark_client_pack pour lier les balises Netfilter (CONNMARK) à des paquets individuels ou des connexions TCP client
Enfin, il est mentionné qu'en suivant les étapes des versions publiées de Squid 5.2 et Squid 4.17 les vulnérabilités ont été corrigées :
- CVE-2021-28116 - Fuite d'informations lors du traitement de messages WCCPv2 spécialement conçus. La vulnérabilité permet à un attaquant de corrompre la liste des routeurs WCCP connus et de rediriger le trafic du client proxy vers son hôte. Le problème ne se manifeste que dans les configurations avec la prise en charge WCCPv2 activée et lorsqu'il est possible d'usurper l'adresse IP du routeur.
- CVE-2021-41611 : erreur de validation des certificats TLS qui autorisent l'accès à l'aide de certificats non approuvés.
Enfin, si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant.