Dopo tre anni di sviluppo è stato rilasciato il rilascio della nuova versione stabile del server proxy Squid 5.1 che è pronto per l'uso su sistemi di produzione (le versioni 5.0.x erano beta).
Dopo aver reso stabile il ramo 5.x, d'ora in poi, verranno apportate solo correzioni per vulnerabilità e problemi di stabilitàe saranno consentite anche ottimizzazioni minori. Lo sviluppo di nuove funzioni avverrà nel nuovo ramo sperimentale 6.0. Gli utenti del vecchio ramo stabile 4.x sono incoraggiati a pianificare una migrazione al ramo 5.x.
Squid 5.1 Principali nuove funzionalità
In questa nuova versione Il supporto del formato Berkeley DB è stato deprecato a causa di problemi di licenza. Il ramo Berkeley DB 5.x non viene gestito da diversi anni e continua ad avere vulnerabilità prive di patch, e l'aggiornamento a versioni più recenti non consente la modifica della licenza AGPLv3, i cui requisiti si applicano anche alle applicazioni che utilizzano BerkeleyDB sotto forma di libreria. - Squid è rilasciato sotto licenza GPLv2 e AGPL è incompatibile con GPLv2.
Invece di Berkeley DB, il progetto è stato trasferito per utilizzare TrivialDB DBMS, che, a differenza di Berkeley DB, è ottimizzato per l'accesso parallelo simultaneo al database. Il supporto per Berkeley DB è mantenuto per ora, ma ora si consiglia di utilizzare il tipo di archiviazione "libtdb" invece di "libdb" nei driver "ext_session_acl" e "ext_time_quota_acl".
Inoltre, è stato aggiunto il supporto per l'intestazione HTTP CDN-Loop, definita in RFC 8586, che consente di rilevare i loop quando si utilizzano reti di distribuzione di contenuti (l'intestazione fornisce protezione contro situazioni in cui una richiesta, durante il reindirizzamento tra CDN per qualche motivo, restituisce al CDN originale, formando un ciclo infinito).
Inoltre, il meccanismo SSL-Bump, che consente di intercettare il contenuto delle sessioni HTTPS crittografate, hun supporto aggiuntivo per il reindirizzamento di richieste HTTPS contraffatte attraverso altri server proxy specificato in cache_peer utilizzando un tunnel regolare basato sul metodo HTTP CONNECT (lo streaming su HTTPS non è supportato poiché Squid non può ancora trasmettere TLS all'interno di TLS).
SSL-Bump consente, all'arrivo della prima richiesta HTTPS intercettata, di stabilire una connessione TLS con il server di destinazione e ottenere il suo certificato. Successivamente, Squid utilizza il nome host del certificato effettivamente ricevuto dal server e creare un certificato falso, con cui imita il server richiesto quando interagisce con il client, continuando a utilizzare la connessione TLS stabilita con il server di destinazione per ricevere i dati.
Si evidenzia inoltre che l'attuazione del protocollo ICAP (Internet Content Adaptation Protocol), che viene utilizzato per l'integrazione con sistemi di verifica dei contenuti esterni, ha aggiunto il supporto per il meccanismo di allegato dei dati che consente di allegare intestazioni di metadati aggiuntivi alla risposta, posizionati dopo il messaggio. corpo.
Invece di prendere in considerazione il "dns_v4_first»Per determinare l'ordine di utilizzo della famiglia di indirizzi IPv4 o IPv6, ora viene preso in considerazione l'ordine della risposta in DNS- Se la risposta AAAA dal DNS viene visualizzata per prima durante l'attesa della risoluzione di un indirizzo IP, verrà utilizzato l'indirizzo IPv6 risultante. Pertanto, l'impostazione della famiglia di indirizzi preferita viene ora eseguita nel firewall, nel DNS o all'avvio con l'opzione "–disable-ipv6".
La modifica proposta accelererà i tempi di configurazione delle connessioni TCP e ridurrà l'impatto sulle prestazioni dei ritardi nella risoluzione DNS.
Quando si reindirizzano le richieste, viene utilizzato l'algoritmo "Happy Eyeballs", che utilizza immediatamente l'indirizzo IP ricevuto, senza attendere la risoluzione di tutti gli indirizzi IPv4 e IPv6 di destinazione potenzialmente disponibili.
Per l'utilizzo nella direttiva "external_acl", è stato aggiunto il driver "ext_kerberos_sid_group_acl" per l'autenticazione con gruppi di verifica in Active Directory utilizzando Kerberos. L'utilità ldapsearch fornita dal pacchetto OpenLDAP viene utilizzata per interrogare il nome del gruppo.
Aggiunte le direttive mark_client_connection e mark_client_pack per associare i tag Netfilter (CONNMARK) a singoli pacchetti o connessioni TCP client
Infine si dice che seguendo i passaggi delle versioni rilasciate di Squid 5.2 e Squid 4.17 vulnerabilità sono state risolte:
- CVE-2021-28116 - Perdita di informazioni durante l'elaborazione di messaggi WCCPv2 appositamente predisposti. La vulnerabilità consente a un utente malintenzionato di corrompere l'elenco dei router WCCP noti e reindirizzare il traffico dal client proxy al suo host. Il problema si manifesta solo nelle configurazioni con supporto WCCPv2 abilitato e quando è possibile falsificare l'indirizzo IP del router.
- CVE-2021-41611: errore durante la convalida dei certificati TLS che consentono l'accesso utilizzando certificati non attendibili.
Infine, se vuoi saperne di più, puoi controllare i dettagli nel seguente link