Setelah tiga tahun pengembangan rilis versi stabil baru dari server proxy Squid 5.1 telah disajikan yang siap digunakan pada sistem produksi (versi 5.0.x adalah beta).
Setelah membuat cabang 5.x stabil, mulai sekarang hanya perbaikan yang akan dilakukan untuk masalah kerentanan dan stabilitas, dan pengoptimalan kecil juga akan diizinkan. Pengembangan fungsi baru akan dilakukan di cabang eksperimental baru 6.0. Pengguna cabang stabil 4.x yang lebih lama didorong untuk merencanakan migrasi ke cabang 5.x.
Squid 5.1 Fitur Utama Baru
Dalam versi baru ini Dukungan format Berkeley DB tidak digunakan lagi karena masalah lisensi. Cabang Berkeley DB 5.x tidak dikelola selama beberapa tahun dan terus memiliki kerentanan yang belum ditambal, dan peningkatan ke versi yang lebih baru tidak memungkinkan perubahan lisensi AGPLv3, persyaratan yang juga berlaku untuk aplikasi yang menggunakan BerkeleyDB dalam bentuk perpustakaan. - Squid dirilis di bawah lisensi GPLv2 dan AGPL tidak kompatibel dengan GPLv2.
Alih-alih Berkeley DB, proyek tersebut dibawa ke menggunakan DBMS TrivialDB, yang, tidak seperti Berkeley DB, dioptimalkan untuk akses paralel simultan ke database. Dukungan Berkeley DB dipertahankan untuk saat ini, tetapi sekarang disarankan untuk menggunakan jenis penyimpanan "libtdb" daripada "libdb" di driver "ext_session_acl" dan "ext_time_quota_acl".
Selain itu, dukungan ditambahkan untuk header HTTP CDN-Loop, yang didefinisikan dalam RFC 8586, yang memungkinkan pendeteksian loop saat menggunakan jaringan pengiriman konten (header memberikan perlindungan terhadap situasi di mana permintaan, selama pengalihan antara CDN karena alasan tertentu, kembali ke CDN asli, membentuk loop tak terbatas).
Selain itu, mekanisme SSL-Bump, yang memungkinkan konten sesi HTTPS terenkripsi untuk dicegat, hdukungan tambahan untuk mengarahkan permintaan HTTPS palsu melalui server lain proxy yang ditentukan dalam cache_peer menggunakan terowongan biasa berdasarkan metode HTTP CONNECT (streaming melalui HTTPS tidak didukung karena Squid belum dapat melakukan streaming TLS dalam TLS).
SSL-Bump memungkinkan, ketika permintaan HTTPS pertama yang dicegat tiba, untuk membuat koneksi TLS dengan server target dan dapatkan sertifikatnya. Kemudian, Squid menggunakan nama host dari sertifikat yang sebenarnya diterima dari server dan membuat sertifikat palsu, yang meniru server yang diminta saat berinteraksi dengan klien, sambil terus menggunakan koneksi TLS yang dibuat dengan server tujuan untuk menerima data.
Juga disoroti bahwa implementasi protokol ICAP (Protokol Adaptasi Konten Internet), yang digunakan untuk integrasi dengan sistem verifikasi konten eksternal, telah menambahkan dukungan untuk mekanisme lampiran data yang memungkinkan Anda untuk melampirkan header metadata tambahan ke balasan, ditempatkan setelah pesan. tubuh.
Alih-alih memperhitungkan "dns_v4_first»Untuk menentukan urutan penggunaan keluarga alamat IPv4 atau IPv6, sekarang urutan respons dalam DNS diperhitungkan- Jika respons AAAA dari DNS muncul terlebih dahulu sambil menunggu alamat IP diselesaikan, alamat IPv6 yang dihasilkan akan digunakan. Oleh karena itu, pengaturan keluarga alamat yang disukai sekarang dilakukan di firewall, DNS, atau saat startup dengan opsi "–disable-ipv6".
Perubahan yang diusulkan akan mempercepat waktu untuk mengkonfigurasi koneksi TCP dan mengurangi dampak kinerja dari penundaan dalam resolusi DNS.
Saat mengarahkan permintaan, algoritma "Happy Eyeballs" digunakan, yang segera menggunakan alamat IP yang diterima, tanpa menunggu semua alamat IPv4 dan IPv6 tujuan yang berpotensi tersedia untuk diselesaikan.
Untuk digunakan dalam arahan "external_acl", driver "ext_kerberos_sid_group_acl" telah ditambahkan untuk otentikasi dengan grup verifikasi di Active Directory menggunakan Kerberos. Utilitas ldapsearch yang disediakan oleh paket OpenLDAP digunakan untuk menanyakan nama grup.
Menambahkan arahan mark_client_connection dan mark_client_pack untuk mengikat tag Netfilter (CONNMARK) ke paket individual atau koneksi TCP klien
Akhirnya disebutkan bahwa mengikuti langkah-langkah dari versi rilis Squid 5.2 dan Squid 4.17 kerentanan telah diperbaiki:
- CVE-2021-28116 - Kebocoran informasi saat memproses pesan WCCPv2 yang dibuat khusus. Kerentanan memungkinkan penyerang untuk merusak daftar router WCCP yang dikenal dan mengarahkan lalu lintas dari klien proxy ke host-nya. Masalahnya memanifestasikan dirinya hanya dalam konfigurasi dengan dukungan WCCPv2 diaktifkan dan bila memungkinkan untuk menipu alamat IP router.
- CVE-2021-41611: kesalahan memvalidasi sertifikat TLS yang mengizinkan akses menggunakan sertifikat yang tidak tepercaya.
Terakhir, jika Anda ingin mengetahui lebih lanjut, Anda dapat memeriksa detailnya Di tautan berikut.