Squid 5.1 komt nei trije jier fan ûntwikkeling en dit binne har nijs

Nei trije jier fan ûntwikkeling de frijlitting fan 'e nije stabile ferzje fan' e Squid 5.1 proxy -tsjinner is presinteare dy't klear is foar gebrûk op produksjesystemen (ferzjes 5.0.x wiene beta).

Nei it meitsjen fan de 5.x tûke stabyl, fan no ôf wurde allinich reparaasjes makke foar kwetsberheden en problemen mei stabiliteit, en lytse optimalisaasjes sille ek wurde tastien. De ûntwikkeling fan nije funksjes sil wurde dien yn 'e nije eksperimintele branch 6.0. Brûkers fan 'e âldere 4.x stabile branch wurde oanmoedige om in migraasje te plannen nei de 5.x branch.

Squid 5.1 Haad nije funksjes

Yn dizze nije ferzje Berkeley DB -opmaakstipe is ôfret fanwegen lisinsjeproblemen. De Berkeley DB 5.x -ôfdieling is ferskate jierren net beheard en bliuwt kwetsberheden sûnder patch hawwe, en upgrade nei nijere ferzjes lit de AGPLv3 -lisinsje net feroarje, wêrfan de easken ek jilde foar applikaasjes dy't BerkeleyDB brûke yn 'e foarm fan bibleteek. - Squid wurdt frijlitten ûnder de GPLv2 -lisinsje en AGPL is net kompatibel mei GPLv2.

Yn stee fan Berkeley DB waard it projekt oerbrocht om TrivialDB DBMS te brûken, dy't, yn tsjinstelling ta Berkeley DB, is optimalisearre foar simultane parallelle tagong ta de database. Berkeley DB -stipe wurdt foar no behâlden, mar it wurdt no oanrikkemandearre it opslachtype "libtdb" te brûken ynstee fan "libdb" yn 'e bestjoerders' ext_session_acl 'en' ext_time_quota_acl '.

Derneist waard stipe tafoege foar de HTTP CDN-Loop-koptekst, definieare yn RFC 8586, wêrtroch loops kinne wurde detekteare by it brûken fan ynhâldleveringsnetwurken (de koptekst biedt beskerming tsjin situaasjes wêryn in fersyk, tidens de omlieding tusken CDN's om ien of oare reden, weromkomt nei it orizjinele CDN, it foarmjen fan in ûneinige loop).

Oan 'e oare kant, it SSL-Bump-meganisme, wêrtroch de ynhâld fan fersifere HTTPS -sesjes kin wurde ûnderskept, hin tafoegde stipe foar trochferwizing fan spoofed HTTPS -fersiken fia oare servers proxy oantsjutte yn cache_peer mei in reguliere tunnel basearre op de HTTP CONNECT -metoade (streaming fia HTTPS wurdt net stipe, om't Squid TLS noch net kin streame binnen TLS).

SSL-Bump lit by oankomst fan it earste ûnderskepte HTTPS-fersyk in TLS-ferbining meitsje mei de doelserver en krije syn sertifikaat. Ferfolgens, Squid brûkt de hostnamme fan it werklike ûntfongen sertifikaat fan 'e server en meitsje in falsk sertifikaat, wêrmei it de frege server imiteart by ynteraksje mei de kliïnt, wylst jo trochgean mei it brûken fan de TLS -ferbining oprjochte mei de bestimmingsserver om gegevens te ûntfangen.

It wurdt ek markearre dat de ymplemintaasje fan it protokol ICAP (Internet Content Adaptation Protocol), dat wurdt brûkt foar yntegraasje mei systemen foar ferifikaasje fan eksterne ynhâld, hat stipe tafoege foar it meganisme foar gegevensbylage wêrmei jo ekstra metadatakoppen kinne heakje oan it antwurd, pleatst nei it berjocht. lichem.

Yn plak fan rekken te hâlden mei de "dns_v4_first»Om de folchoarder fan gebrûk te bepalen fan 'e IPv4- as IPv6 -adresfamylje, no wurdt rekken hâlden mei de folchoarder fan it antwurd yn DNS- As it AAAA -antwurd fan DNS earst ferskynt by it wachtsjen op in IP -adres om op te lossen, sil it resultearjende IPv6 -adres wurde brûkt. Dêrom wurdt de foarkommende adresfamylje-ynstelling no dien yn 'e firewall, DNS, as by it opstarten mei de opsje "–disable-ipv6".
De foarstelde feroaring sil de tiid rapper meitsje foar it konfigurearjen fan TCP -ferbiningen en de prestaasjesynfloed ferminderje fan fertragingen yn DNS -resolúsje.

By it omlieden fan fersiken wurdt it algoritme "Happy Eyeballs" brûkt, dy't fuortendaliks it ûntfongen IP -adres brûkt, sûnder te wachtsjen op alle potensjeel beskikbere bestimming IPv4- en IPv6 -adressen moatte wurde oplost.

Foar gebrûk yn 'e "external_acl" -rjochtline is de driver "ext_kerberos_sid_group_acl" tafoege foar ferifikaasje mei ferifikaasjegroepen yn Active Directory mei Kerberos. It ldapsearch -hulpprogramma levere troch it OpenLDAP -pakket wurdt brûkt om de groepsnamme op te freegjen.

Mark_client_connection en mark_client_pack rjochtlinen tafoege om Netfilter (CONNMARK) tags te binen oan yndividuele pakketten as client TCP -ferbiningen

Uteinlik wurdt neamd dat it folgjen fan de stappen fan 'e frijlitten ferzjes fan Squid 5.2 en Squid 4.17 kwetsberheden waarden repareare:

  • CVE-2021-28116-Ynformaasje lek by it ferwurkjen fan spesjaal makke WCCPv2-berjochten. De kwetsberens lit in oanfaller de list mei bekende WCCP -routers beskeadigje en ferkear omliede fan 'e proxy -kliïnt nei syn host. It probleem ferskynt him allinich yn konfiguraasjes mei WCCPv2 -stipe ynskeakele en as it mooglik is it IP -adres fan 'e router te spoofjen.
  • CVE-2021-41611: flater by it falidearjen fan TLS-sertifikaten dy't tagong tastean mei net fertroude sertifikaten.

As lêste, as jo der mear oer witte wolle, kinne jo de details kontrolearje Yn 'e folgjende link.


De ynhâld fan it artikel hâldt him oan ús prinsipes fan redaksje etyk, Om in flater te melden klikje hjir.

Wês de earste om kommentaar

Lit jo reaksje efter

Jo e-mailadres wurdt net publisearre. Ferplichte fjilden binne markearre mei *

*

*

  1. Ferantwurdlik foar de gegevens: Miguel Ángel Gatón
  2. Doel fan 'e gegevens: Control SPAM, kommentaarbehear.
  3. Legitimaasje: jo tastimming
  4. Kommunikaasje fan 'e gegevens: De gegevens wurde net oan tredden kommunisearre, útsein troch wetlike ferplichting.
  5. Gegevensopslach: Databank hoste troch Occentus Networks (EU)
  6. Rjochten: Op elk momint kinne jo jo ynformaasje beheine, herstelle en wiskje.