Squid 5.1はXNUMX年間の開発の後に到着し、これらはその目新しさです

Darkcrizt

4分

XNUMX年間の開発後 Squid5.1プロキシサーバーの新しい安定バージョンのリリースがリリースされました これは本番システムで使用する準備ができています(バージョン5.0.xはベータ版でした)。

5.xブランチを安定させた後、 今後は、脆弱性と安定性の問題の修正のみが行われます。、およびマイナーな最適化も許可されます。 新しい関数の開発は、新しい実験ブランチ6.0で行われます。 古い4.x安定版ブランチのユーザーは、5.xブランチへの移行を計画することをお勧めします。

Squid5.1の主な新機能

この新しいバージョンでは ライセンスの問題により、BerkeleyDB形式のサポートは廃止されました。 Berkeley DB 5.xブランチは数年間管理されておらず、パッチが適用されていない脆弱性が続いています。新しいバージョンにアップグレードしても、AGPLv3ライセンスを変更することはできません。この要件は、ライブラリの形式でBerkeleyDBを使用するアプリケーションにも適用されます。 -SquidはGPLv2ライセンスの下でリリースされており、AGPLはGPLv2と互換性がありません。

Berkeley DBの代わりに、プロジェクトはTrivialDBDBMSを使用するために引き継がれました。 Berkeley DBとは異なり、データベースへの同時並列アクセス用に最適化されています。 Berkeley DBのサポートは現在維持されていますが、「ext_session_acl」および「ext_time_quota_acl」ドライバーでは「libdb」ではなく「libtdb」ストレージタイプを使用することをお勧めします。

さらに、RFC8586で定義されているHTTPCDN-Loopヘッダーのサポートが追加されました。これにより、コンテンツ配信ネットワークを使用するときにループを検出できます(ヘッダーは、何らかの理由でCDN間のリダイレクト中にリクエストが返される状況に対する保護を提供します)元のCDNに変換し、無限ループを形成します)。

また、 SSLバンプメカニズム、 これにより、暗号化されたHTTPSセッションのコンテンツを傍受できるようになります。hスプーフィングされたHTTPSリクエストを他のサーバー経由でリダイレクトするための追加サポート HTTP CONNECTメソッドに基づく通常のトンネルを使用してcache_peerで指定されたプロキシ(SquidはまだTLS内でTLSをストリーミングできないため、HTTPSを介したストリーミングはサポートされていません)。

SSL-Bumpを使用すると、最初に傍受されたHTTPS要求が到着すると、TLS接続を確立できます。 宛先サーバーを使用して、その証明書を取得します。 続いて、 Squidは、受け取った実際の証明書のホスト名を使用します サーバーから偽の証明書を作成し、 クライアントと対話するときに、要求されたサーバーを模倣します、宛先サーバーで確立されたTLS接続を引き続き使用してデータを受信します。

プロトコルの実装も強調されています ICAP (インターネットコンテンツ適応プロトコル)、外部コンテンツ検証システムとの統合に使用され、 データ添付メカニズムのサポートが追加されました これにより、メッセージの後に配置された追加のメタデータヘッダーを返信に添付できます。 体。

「dns_v4_first」を考慮する代わりに»IPv4またはIPv6アドレスファミリの使用順序を決定するには、 DNSでの応答の順序が考慮されるようになりました-IPアドレスが解決されるのを待っている間にDNSからのAAAA応答が最初に表示される場合、結果のIPv6アドレスが使用されます。 したがって、優先アドレスファミリの設定は、ファイアウォール、DNS、または起動時に「–disable-ipv6」オプションを使用して行われるようになりました。
提案された変更により、TCP接続を構成する時間が短縮され、DNS解決の遅延によるパフォーマンスへの影響が軽減されます。

リクエストをリダイレクトするときは、「HappyEyeballs」アルゴリズムが使用されます。 これは、利用可能なすべての宛先IPv4およびIPv6アドレスが解決されるのを待たずに、受信したIPアドレスを即座に使用します。

「external_acl」ディレクティブで使用するために、「ext_kerberos_sid_group_acl」ドライバーが追加され、Kerberosを使用したActiveDirectoryの検証グループでの認証が行われます。 OpenLDAPパッケージによって提供されるldapsearchユーティリティは、グループ名を照会するために使用されます。

Netfilter(CONNMARK)タグを個々のパケットまたはクライアントTCP接続にバインドするためのmark_client_connectionおよびmark_client_packディレクティブが追加されました

最後に、リリースされたバージョンのSquid5.2およびSquid4.17の手順に従うことに言及します。 脆弱性が修正されました:

  • CVE-2021-28116-特別に細工されたWCCPv2メッセージを処理する際の情報漏えい。 この脆弱性により、攻撃者は既知のWCCPルーターのリストを破壊し、プロキシクライアントからそのホストにトラフィックをリダイレクトすることができます。 この問題は、WCCPv2サポートが有効になっている構成で、ルータのIPアドレスをスプーフィングできる場合にのみ発生します。
  • CVE-2021-41611:信頼できない証明書を使用したアクセスを許可するTLS証明書を検証する際のエラー。

最後に、それについてもっと知りたい場合は、詳細を確認できます 次のリンクで。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。