Lignja 5.1 stiže nakon tri godine razvoja i to su njegove vijesti

Darkcrizt

4 minuta

Nakon tri godine razvoja objavljeno je izdanje nove stabilne verzije proxy poslužitelja Squid 5.1 koji je spreman za upotrebu u proizvodnim sustavima (verzije 5.0.x su bile beta).

Nakon što je granu 5.x učinio stabilnom, od sada će se raditi samo popravci za ranjivosti i probleme sa stabilnošću, bit će dopuštene i manje optimizacije. Razvoj novih funkcija radit će se u novoj eksperimentalnoj grani 6.0. Korisnici starije stabilne podružnice 4.x potiču se da planiraju migraciju na granu 5.x.

Squid 5.1 Glavne nove značajke

U ovoj novoj verziji Podrška za format Berkeley DB zastarjela je zbog problema s licenciranjem. Podružnica Berkeley DB 5.x nije upravljana nekoliko godina i dalje ima neispravljene ranjivosti, a nadogradnja na novije verzije ne dopušta promjenu licence AGPLv3, čiji se zahtjevi primjenjuju i na aplikacije koje koriste BerkeleyDB u obliku knjižnice. - Lignje se izdaju pod licencom GPLv2, a AGPL nije kompatibilan s GPLv2.

Umjesto Berkeley DB, projekt je prenijet na korištenje TrivialDB DBMS, koji je, za razliku od Berkeley DB -a, optimiziran za istovremeni paralelni pristup bazi podataka. Podrška za Berkeley DB zasad se održava, ali sada se preporučuje korištenje vrste pohrane "libtdb" umjesto "libdb" u upravljačkim programima "ext_session_acl" i "ext_time_quota_acl".

Osim toga, dodana je podrška za HTTP CDN-Loop zaglavlje definirano u RFC 8586, koje omogućuje otkrivanje petlji pri korištenju mreža za isporuku sadržaja (zaglavlje pruža zaštitu od situacija u kojima se zahtjev, tijekom preusmjeravanja između CDN-a iz nekog razloga, vraća na izvorni CDN, tvoreći beskonačnu petlju).

Štoviše, mehanizam SSL-Bump, koji omogućuje presretanje sadržaja šifriranih HTTPS sesija, hdodatna podrška za preusmjeravanje lažnih HTTPS zahtjeva putem drugih poslužitelja proxy naveden u cache_peer pomoću običnog tunela temeljenog na HTTP CONNECT metodi (streaming preko HTTPS -a nije podržan jer Squid još ne može strujati TLS unutar TLS -a).

SSL-Bump omogućuje, po dolasku prvog presretnutog HTTPS zahtjeva, uspostavu TLS veze s odredišnim poslužiteljem i dobiti njegov certifikat. Nakon toga, Lignja koristi naziv hosta stvarnog primljenog certifikata sa poslužitelja i stvoriti lažni certifikat, s kojim oponaša traženi poslužitelj pri interakciji s klijentom, nastavljajući koristiti TLS vezu uspostavljenu s odredišnim poslužiteljem za primanje podataka.

Također je istaknuto da je provedba protokola ICAP (Protokol za prilagodbu internetskog sadržaja), koji se koristi za integraciju s vanjskim sustavima za provjeru sadržaja, je dodao podršku za mehanizam pričvršćivanja podataka koji vam omogućuje da odgovoru priložite dodatna zaglavlja metapodataka, smještena nakon poruke. tijelo.

Umjesto da se uzme u obzir "dns_v4_first»Za utvrđivanje redoslijeda korištenja IPv4 ili IPv6 obitelji adresa, sada se uzima u obzir redoslijed odgovora u DNS -u- Ako se AAAA odgovor s DNS -a prvi pojavi tijekom čekanja na rješavanje IP adrese, rezultirajuća IPv6 adresa će se koristiti. Stoga se željena postavka obitelji adresa sada vrši u vatrozidu, DNS-u ili pri pokretanju s opcijom "–disable-ipv6".
Predložena promjena ubrzat će vrijeme za konfiguriranje TCP veza i smanjiti utjecaj kašnjenja u razrješenju DNS -a na performanse.

Prilikom preusmjeravanja zahtjeva koristi se algoritam "Sretne očne jabučice", koji odmah koristi primljenu IP adresu, ne čekajući da se riješe sve potencijalno dostupne odredišne ​​IPv4 i IPv6 adrese.

Za upotrebu u direktivi "external_acl", upravljački program "ext_kerberos_sid_group_acl" dodan je za provjeru autentičnosti s grupama za provjeru u Active Directoryu pomoću Kerberosa. Pomoćni program ldapsearch koji pruža paket OpenLDAP koristi se za postavljanje upita o imenu grupe.

Dodane su smjernice mark_client_connection i mark_client_pack za vezanje oznaka Netfilter (CONNMARK) na pojedinačne pakete ili TCP veze klijenta

Na kraju se spominje da slijedeći korake objavljenih verzija Squid 5.2 i Squid 4.17 ranjivosti su ispravljene:

  • CVE-2021-28116-Curenje informacija pri obradi posebno izrađenih WCCPv2 poruka. Ranjivost omogućuje napadaču da pokvari popis poznatih WCCP usmjerivača i preusmjeri promet s proxy klijenta na njegov host. Problem se očituje samo u konfiguracijama s omogućenom podrškom za WCCPv2 i kada je moguće prevariti IP adresu usmjerivača.
  • CVE-2021-41611: pogreška pri provjeri valjanosti TLS certifikata koji omogućuju pristup pomoću nepouzdanih certifikata.

Napokon, ako želite znati više o tome, možete provjeriti detalje U sljedećem linku.


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.