אחרי שלוש שנים של פיתוח שחרור הגרסה היציבה החדשה של שרת ה- proxy של Squid 5.1 שוחרר המוכנה לשימוש במערכות ייצור (גרסאות 5.0.x היו בטא).
לאחר הפיכת הסניף 5.x ליציב, מעתה והלאה יתבצעו תיקונים רק עבור נקודות תורפה ובעיות יציבות, וגם אופטימיזציות קלות יתאפשרו. פיתוח פונקציות חדשות ייעשה בענף הניסוי החדש 6.0. משתמשים בסניף היציב 4.x הישן מוזמנים לתכנן העברה לענף 5.x.
התכונות החדשות העיקריות של דיונון 5.1
בגרסה החדשה הזו התמיכה בפורמט Berkeley DB הופסקה עקב בעיות רישוי. סניף Berkeley DB 5.x אינו מנוהל במשך מספר שנים וממשיך להיות בעל נקודות תורפה שלא תוקנו, ושדרוג לגרסאות חדשות יותר אינו מאפשר לשנות את רישיון AGPLv3, שדרישותיו חלות גם על אפליקציות המשתמשות ב- BerkeleyDB בצורה של ספרייה. - דיונון משוחרר תחת רישיון GPLv2 ו- AGPL אינו תואם ל- GPLv2.
במקום Berkeley DB, הפרויקט הועבר לשימוש ב- TrivialDB DBMS, אשר, בניגוד לברקלי DB, מותאם לגישה מקבילה בו זמנית למסד הנתונים. התמיכה ב- Berkeley DB נשמרת לעת עתה, אך כעת מומלץ להשתמש בסוג האחסון "libtdb" במקום ב- "libdb" במנהלי ההתקנים "ext_session_acl" ו- "ext_time_quota_acl".
בנוסף, נוספה תמיכה בכותרת HTTP CDN-Loop, המוגדרת ב- RFC 8586, המאפשרת לזהות לולאות בעת שימוש ברשתות אספקת תוכן (הכותרת מספקת הגנה מפני מצבים שבהם בקשה במהלך ההפניה מחדש בין CDN מסיבה כלשהי ל- CDN המקורי, ויוצרים לולאה אינסופית).
יתר על כן, מנגנון SSL-Bump, מה שמאפשר ליירט את התוכן של הפעלות HTTPS מוצפנות, חתמיכה נוספת להפניה מחדש של בקשות HTTPS מזויפות דרך שרתים אחרים proxy שצוין ב- cache_peer באמצעות מנהרה רגילה המבוססת על שיטת HTTP CONNECT (הזרמה באמצעות HTTPS אינה נתמכת מכיוון ש- Squid עדיין לא יכול להזרים TLS בתוך TLS).
SSL-Bump מאפשר, עם הגעת הבקשה הראשונה שהייתה HTTPS, לייצר חיבור TLS עם שרת היעד וקבל את האישור שלו. כתוצאה מכך, דיונון משתמש בשם המארח של האישור בפועל שהתקבל מהשרת וצור תעודה מזויפת, איתו הוא מחקה את השרת המבוקש בעת אינטראקציה עם הלקוח, תוך המשך השימוש בחיבור TLS שנוצר עם שרת היעד לקבלת נתונים.
כמו כן, מודגש כי יישום הפרוטוקול ICAP (פרוטוקול התאמת תוכן לאינטרנט), המשמש לשילוב עם מערכות אימות תוכן חיצוניות, הוסיף תמיכה במנגנון הצמדת הנתונים המאפשר לך לצרף כותרות מטא -נתונים נוספות לתשובה, המוצבות לאחר ההודעה. גוּף.
במקום לקחת בחשבון את "dns_v4_first»לקביעת סדר השימוש במשפחת כתובות IPv4 או IPv6, כעת נלקח בחשבון סדר התגובה ב- DNS- אם תגובת AAAA מ- DNS מופיעה לראשונה בזמן ההמתנה לפתרון כתובת IP, כתובת ה- IPv6 המתקבלת תשמש. לכן ההגדרה המשפחתית של כתובות מועדפת נעשית כעת בחומת האש, ב- DNS או בעת ההפעלה עם האפשרות "–disable-ipv6".
השינוי המוצע יזרז את הזמן להגדרת חיבורי TCP ויפחית את השפעת הביצועים של עיכובים ברזולוציית ה- DNS.
בעת הפניית בקשות, נעשה שימוש באלגוריתם "Happy Eyeballs", שמשתמשת מיד בכתובת ה- IP שהתקבלה, מבלי לחכות לפתרון כל כתובות ה- IPv4 וה- IPv6 של היעד.
לשימוש בהנחיית "external_acl" נוספה מנהל ההתקן "ext_kerberos_sid_group_acl" לאימות עם קבוצות אימות ב- Active Directory באמצעות Kerberos. כלי ldapsearch המסופק על ידי חבילת OpenLDAP משמש לשאילתת שם הקבוצה.
נוספו הוראות mark_client_connection ו- mark_client_pack כדי לאגד תגי Netfilter (CONNMARK) למנות בודדות או לחיבורי TCP של לקוח.
לבסוף מוזכר כי בעקבות השלבים של הגרסאות ששוחררו של דיונון 5.2 ודיונון 4.17 הפגיעויות תוקנו:
- CVE-2021-28116-דליפת מידע בעת עיבוד הודעות WCCPv2 שנוצרו במיוחד. הפגיעות מאפשרת לתוקף להשחית את רשימת נתבי WCCP המוכרים ולהפנות את התעבורה מלקוח ה- proxy למארח שלו. הבעיה מתבטאת רק בתצורות עם תמיכה WCCPv2 מופעלת וכאשר אפשר לזייף את כתובת ה- IP של הנתב.
- CVE-2021-41611: שגיאה בעת אימות אישורי TLS המאפשרים גישה באמצעות אישורים לא מהימנים.
לבסוף, אם אתה רוצה לדעת יותר על זה, אתה יכול לבדוק את הפרטים בקישור הבא.