Squid 5.1 ມາຮອດຫຼັງຈາກສາມປີຂອງການພັດທະນາແລະເຫຼົ່ານີ້ແມ່ນຂ່າວຂອງມັນ

ຫຼັງຈາກສາມປີຂອງການພັດທະນາ ການປ່ອຍເວີຊັນໃstable່ທີ່stableັ້ນຄົງຂອງ Squid 5.1 proxy server ໄດ້ຖືກປ່ອຍອອກມາ ເຊິ່ງແມ່ນກຽມພ້ອມສໍາລັບການນໍາໃຊ້ໃນລະບົບການຜະລິດ (ສະບັບ 5.0.x ໄດ້ beta).

ຫຼັງຈາກເຮັດໃຫ້ສາຂາ 5.x stableັ້ນຄົງ, ຈາກນີ້ໄປ, ມີພຽງແຕ່ການແກ້ໄຂສໍາລັບຄວາມອ່ອນແອແລະບັນຫາຄວາມstabilityັ້ນຄົງ, ແລະການເພີ່ມປະສິດທິພາບເລັກນ້ອຍກໍ່ຈະຖືກອະນຸຍາດ. ການພັດທະນາ ໜ້າ ທີ່ໃwill່ຈະເຮັດຢູ່ໃນສາຂາທົດລອງໃ6.0່ 4. ຜູ້ໃຊ້ຂອງສາຂາທີ່ມີຄວາມ5.ັ້ນຄົງ XNUMX.x ເກົ່າໄດ້ຖືກແນະ ນຳ ໃຫ້ວາງແຜນການຍ້າຍໄປສາຂາ XNUMX.x.

Squid 5.1 ຄຸນສົມບັດໃMain່ຫຼັກ

ໃນສະບັບ ໃໝ່ ນີ້ ການສະ ໜັບ ສະ ໜູນ ຮູບແບບ Berkeley DB ໄດ້ເຊົາໃຊ້ແລ້ວເນື່ອງຈາກບັນຫາການອອກໃບອະນຸຍາດ. ສາຂາ Berkeley DB 5.x ບໍ່ໄດ້ຖືກຄຸ້ມຄອງມາເປັນເວລາຫຼາຍປີແລ້ວແລະຍັງສືບຕໍ່ມີຊ່ອງໂຫວ່ທີ່ຍັງບໍ່ໄດ້ຮັບການແກ້ໄຂ, ແລະການອັບເກຣດເປັນເວີຊັນໃdoes່ບໍ່ອະນຸຍາດໃຫ້ມີການປ່ຽນແປງໃບອະນຸຍາດ AGPLv3, ຄວາມຕ້ອງການຂອງຂໍ້ມູນດັ່ງກ່າວຍັງໃຊ້ກັບແອັບພລິເຄຊັນທີ່ໃຊ້ BerkeleyDB ໃນຮູບແບບຂອງຫ້ອງສະຸດ. - Squid ຖືກປ່ອຍອອກມາພາຍໃຕ້ໃບອະນຸຍາດ GPLv2 ແລະ AGPL ບໍ່ເຂົ້າກັນໄດ້ກັບ GPLv2.

ແທນ Berkeley DB, ໂຄງການໄດ້ຖືກນໍາໄປໃຊ້ TrivialDB DBMS, ເຊິ່ງແຕກຕ່າງຈາກ Berkeley DB, ຖືກປັບໃຫ້ເforາະສົມສໍາລັບການເຂົ້າເຖິງຖານຂໍ້ມູນຂະ ໜານ ໄປພ້ອມກັນ. ການສະ ໜັບ ສະ ໜູນ Berkeley DB ຖືກຮັກສາໄວ້ໃນເວລານີ້, ແຕ່ດຽວນີ້ແນະ ນຳ ໃຫ້ໃຊ້ປະເພດບ່ອນເກັບຂໍ້ມູນ "libtdb" ແທນ "libdb" ໃນ "ext_session_acl" ແລະ "ext_time_quota_acl" ໄດເວີ.

ນອກຈາກນັ້ນ, ການສະ ໜັບ ສະ ໜູນ ໄດ້ຖືກເພີ່ມເຂົ້າໃສ່ຫົວຂໍ້ HTTP CDN-Loop, ໄດ້ກໍານົດໄວ້ໃນ RFC 8586, ເຊິ່ງອະນຸຍາດໃຫ້ກວດພົບການວົນວຽນໃນເວລາທີ່ໃຊ້ເຄືອຂ່າຍການຈັດສົ່ງເນື້ອໃນ (ສ່ວນຫົວໃຫ້ການປົກປ້ອງຕໍ່ກັບສະຖານະການທີ່ມີການຮ້ອງຂໍ, ໃນລະຫວ່າງການປ່ຽນເສັ້ນທາງລະຫວ່າງ CDNs ດ້ວຍເຫດຜົນບາງຢ່າງ, ຜົນຕອບແທນ ກັບ CDN ເດີມ, ປະກອບເປັນວົງບໍ່ມີຂອບເຂດ).

ໃນທາງກົງກັນຂ້າມ, ກົນໄກ SSL-Bump, ເຊິ່ງອະນຸຍາດໃຫ້ສາມາດດັກເນື້ອຫາຂອງເຊສຊັນ HTTPS ທີ່ເຂົ້າລະຫັດໄດ້, hການສະ ໜັບ ສະ ໜູນ ເພີ່ມເຕີມສໍາລັບການປ່ຽນເສັ້ນທາງການຮ້ອງຂໍ HTTPS ທີ່ປອມແປງຜ່ານເຊີບເວີອື່ນ ພຣັອກຊີທີ່ລະບຸໄວ້ໃນ cache_peer ໂດຍໃຊ້ອຸໂມງປົກກະຕິອີງຕາມວິທີການເຊື່ອມຕໍ່ HTTP (ການຖ່າຍທອດຜ່ານ HTTPS ແມ່ນບໍ່ຮອງຮັບເນື່ອງຈາກ Squid ຍັງບໍ່ສາມາດຖ່າຍທອດ TLS ພາຍໃນ TLS ໄດ້).

SSL-Bump ອະນຸຍາດໃຫ້, ເມື່ອມາຮອດຄໍາຮ້ອງຂໍ HTTPS ທີ່ຖືກດັກທໍາອິດ, ເພື່ອສ້າງການເຊື່ອມຕໍ່ TLS ກັບເຊີບເວີປາຍທາງແລະຮັບເອົາໃບຢັ້ງຢືນຂອງມັນ. ຕໍ່ມາ, Squid ໃຊ້ຊື່ໂຮດຂອງໃບຢັ້ງຢືນຕົວຈິງທີ່ໄດ້ຮັບ ຈາກເຊີບເວີແລະສ້າງໃບຢັ້ງຢືນປອມ, ເຊິ່ງມັນຮຽນແບບເຄື່ອງແມ່ຂ່າຍທີ່ຮ້ອງຂໍເມື່ອພົວພັນກັບລູກຄ້າ, ໃນຂະນະທີ່ສືບຕໍ່ນໍາໃຊ້ການເຊື່ອມຕໍ່ TLS ສ້າງຕັ້ງຂຶ້ນກັບເຊີບເວີປາຍທາງເພື່ອຮັບຂໍ້ມູນ.

ມັນຍັງໄດ້ເນັ້ນໃຫ້ເຫັນວ່າການຈັດຕັ້ງປະຕິບັດອະນຸສັນຍາ ICAP (Internet Protocol Adaptation Protocol), ເຊິ່ງໃຊ້ສໍາລັບການເຊື່ອມໂຍງກັບລະບົບການກວດສອບເນື້ອຫາພາຍນອກ, ໄດ້ເພີ່ມການສະ ໜັບ ສະ ໜູນ ກົນໄກການແນບຂໍ້ມູນ ເຊິ່ງອະນຸຍາດໃຫ້ເຈົ້າແນບສ່ວນຫົວເມຕາເດຕາເພີ່ມເຕີມໃສ່ກັບການຕອບ, ວາງໄວ້ຫຼັງຈາກຂໍ້ຄວາມ. ຮ່າງກາຍ.

ແທນທີ່ຈະຄໍານຶງເຖິງ "dns_v4_first»ເພື່ອກໍານົດລໍາດັບການນໍາໃຊ້ຂອງຄອບຄົວທີ່ຢູ່ IPv4 ຫຼື IPv6, ດຽວນີ້ ຄຳ ສັ່ງຂອງການຕອບສະ ໜອງ ໃນ DNS ໄດ້ຖືກ ຄຳ ນຶງເຖິງ- ຖ້າການຕອບສະ ໜອງ AAAA ຈາກ DNS ປະກົດຂຶ້ນກ່ອນໃນຂະນະທີ່ລໍຖ້າທີ່ຢູ່ IP ເພື່ອແກ້ໄຂ, ທີ່ຢູ່ IPv6 ທີ່ໄດ້ຮັບຈະຖືກນໍາໃຊ້. ເພາະສະນັ້ນ, ການຕັ້ງຄອບຄົວທີ່ຢູ່ທີ່ຕ້ອງການດຽວນີ້ແມ່ນເຮັດຢູ່ໃນໄຟວ DNS, DNS, ຫຼືຕອນເລີ່ມຕົ້ນດ້ວຍຕົວເລືອກ "isdisable-ipv6".
ການປ່ຽນແປງທີ່ສະ ເໜີ ມານັ້ນຈະເລັ່ງເວລາເພື່ອກໍານົດການເຊື່ອມຕໍ່ TCP ແລະຫຼຸດຜ່ອນຜົນກະທົບດ້ານການປະຕິບັດຂອງການຊັກຊ້າໃນການແກ້ໄຂ DNS.

ເມື່ອມີການປ່ຽນເສັ້ນທາງການຮ້ອງຂໍ, ຈະໃຊ້ຂັ້ນຕອນວິທີ "Happy Eyeballs", ເຊິ່ງໃຊ້ທີ່ຢູ່ IP ທີ່ໄດ້ຮັບທັນທີ, ໂດຍບໍ່ຕ້ອງລໍຖ້າທີ່ຢູ່ IPv4 ແລະ IPv6 ຈຸດdestinationາຍປາຍທາງທີ່ມີຢູ່ທັງpotentiallyົດ.

ສໍາລັບໃຊ້ໃນຄໍາສັ່ງ "external_acl", ໄດຣເວີ "ext_kerberos_sid_group_acl" ໄດ້ຖືກເພີ່ມສໍາລັບການກວດສອບຄວາມຖືກຕ້ອງກັບກຸ່ມການກວດສອບໃນ Active Directory ໂດຍໃຊ້ Kerberos. ຜົນປະໂຫຍດ ldapsearch ທີ່ສະ ໜອງ ໃຫ້ໂດຍແພັກເກດ OpenLDAP ແມ່ນໃຊ້ເພື່ອສອບຖາມຊື່ກຸ່ມ.

ເພີ່ມ mark_client_connection ແລະ mark_client_pack ຄໍາແນະນໍາເພື່ອຜູກມັດ Netfilter (CONNMARK) tags ໃສ່ແຕ່ລະແພັກເກັດຫຼືການເຊື່ອມຕໍ່ TCP ຂອງລູກຄ້າ

ສຸດທ້າຍມັນໄດ້ຖືກກ່າວເຖິງວ່າປະຕິບັດຕາມຂັ້ນຕອນຂອງລຸ້ນ Squid 5.2 ແລະ Squid 4.17 ຄວາມອ່ອນແອໄດ້ຖືກແກ້ໄຂ:

  • CVE-2021-28116-ຂໍ້ມູນຮົ່ວໄຫຼເມື່ອປະມວນຜົນຂໍ້ຄວາມ WCCPv2 ທີ່ສ້າງຂຶ້ນມາເປັນພິເສດ. ຄວາມອ່ອນແອດັ່ງກ່າວອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີທໍາລາຍລາຍການຂອງ WCCP routers ທີ່ຮູ້ຈັກແລະປ່ຽນເສັ້ນທາງການສັນຈອນຈາກລູກຄ້າຕົວແທນໄປຫາແມ່ຂ່າຍຂອງມັນ. ບັນຫາສະແດງອອກດ້ວຍຕົວມັນເອງພຽງແຕ່ຢູ່ໃນການຕັ້ງຄ່າທີ່ມີການເປີດໃຊ້ງານການສະ ໜັບ ສະ ໜູນ WCCPv2 ແລະເມື່ອມັນເປັນໄປໄດ້ທີ່ຈະຫຼອກລວງທີ່ຢູ່ IP ຂອງເຣົາເຕີ.
  • CVE-2021-41611: ເກີດຄວາມຜິດພາດໃນການກວດສອບໃບຢັ້ງຢືນ TLS ທີ່ອະນຸຍາດໃຫ້ເຂົ້າເຖິງໂດຍໃຊ້ໃບຮັບຮອງທີ່ບໍ່ເຊື່ອຖືໄດ້.

ສຸດທ້າຍ, ຖ້າທ່ານຕ້ອງການຮູ້ເພີ່ມເຕີມກ່ຽວກັບມັນ, ທ່ານສາມາດກວດເບິ່ງລາຍລະອຽດໄດ້ ໃນລິ້ງຕໍ່ໄປນີ້.


ເນື້ອໃນຂອງບົດຂຽນຍຶດ ໝັ້ນ ຫລັກການຂອງພວກເຮົາ ຈັນຍາບັນຂອງບັນນາທິການ. ເພື່ອລາຍງານການກົດຜິດພາດ ທີ່ນີ້.

ເປັນຄົນທໍາອິດທີ່ຈະໃຫ້ຄໍາເຫັນ

ອອກ ຄຳ ເຫັນຂອງທ່ານ

ທີ່ຢູ່ອີເມວຂອງທ່ານຈະບໍ່ໄດ້ຮັບການຈັດພີມມາ. ທົ່ງນາທີ່ກໍານົດໄວ້ແມ່ນຫມາຍດ້ວຍ *

*

*

  1. ຮັບຜິດຊອບຕໍ່ຂໍ້ມູນ: Miguel ÁngelGatón
  2. ຈຸດປະສົງຂອງຂໍ້ມູນ: ຄວບຄຸມ SPAM, ການຈັດການ ຄຳ ເຫັນ.
  3. ກົດ ໝາຍ: ການຍິນຍອມຂອງທ່ານ
  4. ການສື່ສານຂໍ້ມູນ: ຂໍ້ມູນຈະບໍ່ຖືກສື່ສານກັບພາກສ່ວນທີສາມຍົກເວັ້ນໂດຍພັນທະທາງກົດ ໝາຍ.
  5. ການເກັບຂໍ້ມູນ: ຖານຂໍ້ມູນທີ່ຈັດໂດຍ Occentus Networks (EU)
  6. ສິດ: ໃນທຸກເວລາທີ່ທ່ານສາມາດ ຈຳ ກັດ, ກູ້ຄືນແລະລຶບຂໍ້ມູນຂອງທ່ານ.