तीन वर्षांच्या विकासानंतर स्क्विड 5.1 प्रॉक्सी सर्व्हरच्या नवीन स्थिर आवृत्तीचे प्रकाशन झाले आहे जे उत्पादन प्रणालीवर वापरण्यासाठी तयार आहे (आवृत्त्या 5.0.x बीटा होते).
5.x शाखा स्थिर केल्यानंतर, आतापासून फक्त असुरक्षितता आणि स्थिरतेच्या समस्यांवर उपाय केले जातील, आणि किरकोळ ऑप्टिमायझेशनला देखील परवानगी दिली जाईल. नवीन फंक्शन्सचा विकास नवीन प्रायोगिक शाखेत 6.0 मध्ये केला जाईल. जुन्या 4.x स्थिर शाखेच्या वापरकर्त्यांना 5.x शाखेत स्थलांतर करण्याची योजना करण्यास प्रोत्साहित केले जाते.
स्क्विड 5.1 मुख्य नवीन वैशिष्ट्ये
या नवीन आवृत्तीत परवाना देण्याच्या समस्यांमुळे बर्कले डीबी फॉरमॅट सपोर्ट नापसंत करण्यात आला आहे. बर्कले डीबी 5.x शाखा कित्येक वर्षांपासून व्यवस्थापित केली गेली नाही आणि अद्याप न जुळणारी भेद्यता आहे, आणि नवीन आवृत्त्यांमध्ये श्रेणीसुधारित करणे एजीपीएलव्ही 3 परवाना बदलण्याची परवानगी देत नाही, ज्याची आवश्यकता लायब्ररीच्या स्वरूपात बर्कलेडीबी वापरणार्या अनुप्रयोगांना देखील लागू होते. - GPLv2 परवाना अंतर्गत स्क्विड सोडला जातो आणि AGPL GPLv2 सह विसंगत आहे.
बर्कले डीबीऐवजी, हा प्रकल्प ट्रिव्हिअलडीबी डीबीएमएस वापरण्यासाठी पुढे नेण्यात आला, जे, बर्कले डीबीच्या विपरीत, डेटाबेसमध्ये एकाच वेळी समांतर प्रवेशासाठी अनुकूलित आहे. बर्कले डीबी सपोर्ट आत्ता कायम आहे, परंतु आता "ext_session_acl" आणि "ext_time_quota_acl" ड्रायव्हर्स मध्ये "libdb" ऐवजी "libtdb" स्टोरेज प्रकार वापरण्याची शिफारस केली जाते.
याव्यतिरिक्त, RFC 8586 मध्ये परिभाषित HTTP CDN-Loop हेडरसाठी समर्थन जोडले गेले, जे सामग्री वितरण नेटवर्क वापरताना लूप शोधण्याची परवानगी देते (शीर्षलेख अशा परिस्थितींपासून संरक्षण प्रदान करते ज्यामध्ये सीडीएन दरम्यान पुनर्निर्देशन दरम्यान, काही कारणास्तव, रिटर्न मूळ CDN ला, अनंत लूप तयार करणे).
दुसरीकडे, SSL-Bump यंत्रणा, जे एनक्रिप्टेड HTTPS सत्रांची सामग्री अडवण्याची परवानगी देते, hइतर सर्व्हरद्वारे फसव्या HTTPS विनंत्या पुनर्निर्देशित करण्यासाठी अतिरिक्त समर्थन HTTP CONNECT पद्धतीवर आधारित नियमित बोगदा वापरून cache_peer मध्ये निर्दिष्ट केलेली प्रॉक्सी (HTTPS वर प्रवाहित करणे समर्थित नाही कारण स्क्विड अद्याप TLS मध्ये TLS प्रवाहित करू शकत नाही).
SSL-Bump, पहिल्या अडवलेल्या HTTPS विनंतीच्या आगमनानंतर, TLS कनेक्शन स्थापित करण्याची परवानगी देते लक्ष्य सर्व्हरसह आणि त्याचे प्रमाणपत्र मिळवा. त्यानंतर, स्क्विड प्राप्त झालेल्या वास्तविक प्रमाणपत्राचे होस्टनाव वापरते सर्व्हरवरून आणि बनावट प्रमाणपत्र तयार करा, ज्याद्वारे ते क्लायंटशी संवाद साधताना विनंती केलेल्या सर्व्हरचे अनुकरण करते, डेटा प्राप्त करण्यासाठी गंतव्य सर्व्हरसह स्थापित TLS कनेक्शन वापरणे सुरू ठेवताना.
हे देखील ठळक केले आहे की प्रोटोकॉलची अंमलबजावणी आयसीएपी (इंटरनेट कंटेंट अॅडॅप्टेशन प्रोटोकॉल), ज्याचा वापर बाह्य सामग्री सत्यापन प्रणालींसह एकत्रित करण्यासाठी केला जातो, डेटा संलग्नक यंत्रणेसाठी समर्थन जोडले आहे जे तुम्हाला उत्तरानंतर अतिरिक्त मेटाडेटा शीर्षलेख संलग्न करण्याची परवानगी देते, संदेशानंतर ठेवलेले. शरीर
"Dns_v4_first" खात्यात घेण्याऐवजीV IPv4 किंवा IPv6 पत्ता कुटुंबाच्या वापराचा क्रम निश्चित करण्यासाठी, आता DNS मधील प्रतिसादाचा क्रम विचारात घेतला जातो- IP पत्ता सोडवण्याची वाट पाहत असताना DNS कडून AAAA प्रतिसाद प्रथम दिसल्यास, परिणामी IPv6 पत्ता वापरला जाईल. म्हणून, पसंतीचा पत्ता कौटुंबिक सेटिंग आता फायरवॉल, डीएनएस किंवा "isdisable-ipv6" पर्यायासह स्टार्टअपमध्ये केले जाते.
प्रस्तावित बदलामुळे टीसीपी कनेक्शन कॉन्फिगर करण्यासाठी वेळ वाढेल आणि डीएनएस रिझोल्यूशनमधील विलंबाच्या कामगिरीचा प्रभाव कमी होईल.
विनंत्या पुनर्निर्देशित करताना, "हॅपी आयबॉल" अल्गोरिदम वापरले जाते, जे सर्व संभाव्य उपलब्ध गंतव्य IPv4 आणि IPv6 पत्त्यांचे निराकरण होण्याची वाट न पाहता लगेच प्राप्त IP पत्ता वापरते.
"External_acl" निर्देशात वापरण्यासाठी, "ext_kerberos_sid_group_acl" ड्रायव्हर Kerberos वापरून सक्रिय निर्देशिका मध्ये पडताळणी गटांसह प्रमाणीकरणासाठी जोडला गेला आहे. ओपनएलडीएपी पॅकेजद्वारे प्रदान केलेली ldapsearch उपयुक्तता गटाचे नाव विचारण्यासाठी वापरली जाते.
नेटफिल्टर (CONNMARK) टॅगला वैयक्तिक पॅकेट किंवा क्लायंट TCP कनेक्शनमध्ये जोडण्यासाठी mark_client_connection आणि mark_client_pack निर्देश जोडले
शेवटी असे नमूद केले आहे की स्क्विड 5.2 आणि स्क्विड 4.17 च्या रिलीझ केलेल्या आवृत्त्यांच्या चरणांचे अनुसरण करणे असुरक्षा निश्चित केल्या आहेत:
- CVE-2021-28116-विशेषतः तयार केलेल्या WCCPv2 संदेशांवर प्रक्रिया करताना माहिती लीक. भेद्यता एखाद्या हल्लेखोराला ज्ञात WCCP राउटरची यादी भ्रष्ट करण्यास आणि प्रॉक्सी क्लायंटकडून त्याच्या होस्टकडे रहदारी पुनर्निर्देशित करण्याची परवानगी देते. WCCPv2 सपोर्ट सक्षम असलेल्या कॉन्फिगरेशनमध्ये आणि जेव्हा राऊटरचा IP पत्ता फसवणे शक्य असेल तेव्हा समस्या स्वतः प्रकट होते.
- CVE-2021-41611: TLS प्रमाणपत्रे सत्यापित करताना त्रुटी जे अविश्वसनीय प्रमाणपत्र वापरून प्रवेश करण्यास परवानगी देते.
शेवटी, जर तुम्हाला त्याबद्दल अधिक जाणून घ्यायचे असेल तर आपण तपशील तपासू शकता पुढील लिंकवर