Pēc trīs gadu attīstības ir izlaista jaunā stabilā Squid 5.1 starpniekservera versija kas ir gatavs lietošanai ražošanas sistēmās (5.0.x versija bija beta versija).
Pēc tam, kad 5.x filiāle ir stabila, no šī brīža tiks veikti tikai ievainojamības un stabilitātes problēmu labojumi, un būs atļautas arī nelielas optimizācijas. Jaunu funkciju izstrāde tiks veikta jaunajā eksperimentālajā nozarē 6.0. Vecākas 4.x stabilas filiāles lietotāji tiek aicināti plānot migrāciju uz 5.x filiāli.
Kalmāri 5.1 Galvenās jaunās funkcijas
Šajā jaunajā versijā Berkeley DB formāta atbalsts ir pārtraukts licencēšanas problēmu dēļ. Berkeley DB 5.x filiāle netiek pārvaldīta vairākus gadus, un tai joprojām ir neatlabotas ievainojamības, un jaunināšana uz jaunākām versijām neļauj mainīt AGPLv3 licenci, kuras prasības attiecas arī uz lietojumprogrammām, kas izmanto BerkeleyDB bibliotēkas formā. - Kalmārs tiek izlaists saskaņā ar GPLv2 licenci, un AGPL nav saderīgs ar GPLv2.
Berkeley DB vietā projekts tika pārcelts, lai izmantotu TrivialDB DBVS, kas atšķirībā no Berkeley DB ir optimizēta vienlaicīgai paralēlai piekļuvei datu bāzei. Pagaidām tiek saglabāts Berkeley DB atbalsts, taču tagad draiveros "ext_session_acl" un "ext_time_quota_acl" ieteicams izmantot "libtdb", nevis "libdb".
Turklāt tika pievienots atbalsts HTTP CDN-Loop galvenei, kas definēta RFC 8586, kas ļauj noteikt cilpas, izmantojot satura piegādes tīklus (galvene nodrošina aizsardzību pret situācijām, kad pieprasījums, novirzot starp CDN, kāda iemesla dēļ atgriežas uz sākotnējo CDN, veidojot bezgalīgu cilpu).
Turklāt, SSL-Bump mehānisms, kas ļauj pārtvert šifrētu HTTPS sesiju saturu, hpapildu atbalsts viltotu HTTPS pieprasījumu novirzīšanai, izmantojot citus serverus starpniekserveris, kas norādīts cache_peer, izmantojot parastu tuneli, kura pamatā ir HTTP CONNECT metode (straumēšana, izmantojot HTTPS, netiek atbalstīta, jo Squid vēl nevar straumēt TLS TLS ietvaros).
SSL-Bump ļauj, kad pienāk pirmais pārtvertais HTTPS pieprasījums, izveidot TLS savienojumu ar galamērķa serveri un iegūstiet tā sertifikātu. Sekojoši, Kalmārs izmanto faktiski saņemtā sertifikāta saimniekdatora nosaukumu no servera un izveidojiet viltotu sertifikātu, ar kuru tā atdarina pieprasīto serveri, mijiedarbojoties ar klientu, turpinot datu saņemšanai izmantot ar mērķa serveri izveidoto TLS savienojumu.
Tiek arī uzsvērts, ka protokola īstenošana ICAP (Interneta satura pielāgošanas protokols), ko izmanto integrācijai ar ārējām satura pārbaudes sistēmām, ir pievienojis atbalstu datu piesaistes mehānismam kas ļauj atbildei pievienot papildu metadatu galvenes, kas ievietotas pēc ziņojuma. ķermenis.
Tā vietā, lai ņemtu vērā "dns_v4_first»Lai noteiktu IPv4 vai IPv6 adrešu saimes lietošanas secību, tagad tiek ņemta vērā atbildes secība DNS- Ja, gaidot IP adreses atrisināšanu, vispirms parādās DNS AAAA atbilde, tiks izmantota iegūtā IPv6 adrese. Tāpēc vēlamais adrešu saimes iestatījums tagad tiek veikts ugunsmūrī, DNS vai palaišanas laikā, izmantojot opciju "–disable-ipv6".
Ierosinātās izmaiņas paātrinās laiku, lai konfigurētu TCP savienojumus, un samazinātu DNS atrisināšanas kavēšanās ietekmi uz veiktspēju.
Novirzot pieprasījumus, tiek izmantots algoritms "Happy Eyeballs", kas nekavējoties izmanto saņemto IP adresi, negaidot, kamēr tiks atrisinātas visas potenciāli pieejamās galamērķa IPv4 un IPv6 adreses.
Lai izmantotu direktīvā "external_acl", draiveris "ext_kerberos_sid_group_acl" ir pievienots autentifikācijai ar verifikācijas grupām Active Directory, izmantojot Kerberos. Grupas nosaukuma vaicāšanai tiek izmantota utilīta ldapsearch, ko nodrošina pakotne OpenLDAP.
Pievienotas direktīvas mark_client_connection un mark_client_pack, lai saistītu Netfilter (CONNMARK) tagus ar atsevišķām paketēm vai klienta TCP savienojumiem
Visbeidzot tiek minēts, ka, ievērojot Squid 5.2 un Squid 4.17 izlaisto versiju darbības tika novērstas ievainojamības:
- CVE-2021-28116-informācijas noplūde, apstrādājot speciāli veidotus WCCPv2 ziņojumus. Ievainojamība ļauj uzbrucējam sabojāt zināmo WCCP maršrutētāju sarakstu un novirzīt trafiku no starpniekservera uz tā resursdatoru. Problēma izpaužas tikai konfigurācijās ar iespējotu WCCPv2 atbalstu un gadījumos, kad ir iespējams viltot maršrutētāja IP adresi.
- CVE-2021-41611: kļūda, validējot TLS sertifikātus, kas ļauj piekļūt, izmantojot neuzticamus sertifikātus.
Visbeidzot, ja vēlaties uzzināt vairāk par to, varat pārbaudīt informāciju Šajā saitē.