Sotong 5.1 tiba setelah tiga tahun pembangunan dan ini adalah perkara baru

Selepas tiga tahun pembangunan pelepasan pelayan proksi Squid 5.1 versi stabil yang baru telah dilancarkan yang siap digunakan pada sistem pengeluaran (versi 5.0.x adalah beta).

Setelah menjadikan cawangan 5.x stabil, mulai sekarang, hanya pembaikan yang akan dibuat untuk masalah kerentanan dan kestabilan, dan pengoptimuman kecil juga akan dibenarkan. Pengembangan fungsi baru akan dilakukan di cabang eksperimen baru 6.0. Pengguna cawangan stabil 4.x yang lebih tua digalakkan untuk merancang migrasi ke cawangan 5.x.

Sotong 5.1 Ciri-ciri Baru Utama

Dalam versi baru ini Sokongan format Berkeley DB tidak digunakan lagi kerana masalah perlesenan. Cabang Berkeley DB 5.x tidak dikendalikan selama beberapa tahun dan terus mempunyai kerentanan yang tidak dapat ditandingi, dan peningkatan ke versi yang lebih baru tidak membenarkan menukar lesen AGPLv3, yang syaratnya juga berlaku untuk aplikasi yang menggunakan BerkeleyDB dalam bentuk perpustakaan. - Sotong dilepaskan di bawah lesen GPLv2 dan AGPL tidak sesuai dengan GPLv2.

Daripada Berkeley DB, projek itu dibawa untuk menggunakan TrivialDB DBMS, yang, tidak seperti Berkeley DB, dioptimumkan untuk akses selari ke pangkalan data secara serentak. Sokongan DB Berkeley dikekalkan buat masa ini, tetapi sekarang disarankan untuk menggunakan jenis storan "libtdb" dan bukan "libdb" pada pemacu "ext_session_acl" dan "ext_time_quota_acl".

Sebagai tambahan, dukungan ditambahkan untuk header HTTP CDN-Loop, yang ditentukan dalam RFC 8586, yang memungkinkan untuk mengesan gelung ketika menggunakan rangkaian pengiriman konten (header memberikan perlindungan terhadap situasi di mana permintaan, selama pengalihan antara CDN untuk beberapa alasan, mengembalikan ke CDN asal, membentuk gelung tak terhingga).

Selain itu, mekanisme SSL-Bump, yang membolehkan kandungan sesi HTTPS yang disulitkan dipintas, hsokongan tambahan untuk mengarahkan permintaan HTTPS palsu melalui pelayan lain proksi yang ditentukan dalam cache_peer menggunakan terowong biasa berdasarkan kaedah HTTP CONNECT (streaming melalui HTTPS tidak disokong kerana Squid belum dapat mengalirkan TLS dalam TLS).

SSL-Bump memungkinkan, apabila permintaan HTTPS yang dipintas pertama tiba, untuk membuat sambungan TLS dengan pelayan destinasi dan dapatkan sijilnya. Selepas itu, Squid menggunakan nama host sijil sebenar yang diterima dari pelayan dan buat sijil palsu, yang dengannya meniru pelayan yang diminta semasa berinteraksi dengan klien, sambil terus menggunakan sambungan TLS yang dibuat dengan pelayan tujuan untuk menerima data.

Juga disoroti bahawa pelaksanaan protokol ICAP (Internet Content Adaptation Protocol), yang digunakan untuk penyatuan dengan sistem pengesahan kandungan luaran, telah menambahkan sokongan untuk mekanisme lampiran data yang membolehkan anda melampirkan tajuk metadata tambahan pada balasan, yang diletakkan selepas mesej. badan.

Daripada mengambil kira "dns_v4_first»Untuk menentukan urutan penggunaan keluarga alamat IPv4 atau IPv6, sekarang urutan tindak balas dalam DNS diambil kira- Sekiranya respons AAAA dari DNS muncul terlebih dahulu sementara menunggu alamat IP diselesaikan, alamat IPv6 yang dihasilkan akan digunakan. Oleh itu, tetapan keluarga alamat pilihan sekarang dilakukan di firewall, DNS, atau pada permulaan dengan pilihan "-disable-ipv6".
Perubahan yang dicadangkan akan mempercepat masa untuk mengkonfigurasi sambungan TCP dan mengurangkan kesan prestasi kelewatan dalam resolusi DNS.

Semasa mengalihkan permintaan, algoritma "Happy Eyeballs" digunakan, yang segera menggunakan alamat IP yang diterima, tanpa menunggu semua alamat IPv4 dan IPv6 destinasi yang berpotensi tersedia dapat diselesaikan.

Untuk digunakan dalam arahan "external_acl", pemacu "ext_kerberos_sid_group_acl" telah ditambahkan untuk pengesahan dengan kumpulan pengesahan di Active Directory menggunakan Kerberos. Utiliti ldapsearch yang disediakan oleh pakej OpenLDAP digunakan untuk meminta nama kumpulan.

Menambah arahan mark_client_connection dan mark_client_pack untuk mengikat teg Netfilter (CONNMARK) ke paket individu atau sambungan TCP pelanggan

Akhirnya disebutkan bahawa mengikuti langkah-langkah versi Squid 5.2 dan Squid 4.17 yang dikeluarkan kerentanan diperbaiki:

  • CVE-2021-28116 - Kebocoran maklumat semasa memproses pesanan WCCPv2 yang dibuat khas. Kerentanan membolehkan penyerang merosakkan senarai penghala WCCP yang diketahui dan mengarahkan lalu lintas dari klien proksi ke hosnya. Masalahnya hanya muncul dalam konfigurasi dengan sokongan WCCPv2 yang diaktifkan dan apabila mungkin untuk menipu alamat IP penghala.
  • CVE-2021-41611: ralat semasa mengesahkan sijil TLS yang membenarkan akses menggunakan sijil tidak dipercayai.

Akhirnya, jika anda ingin mengetahui lebih lanjut mengenainya, anda boleh menyemak perinciannya Dalam pautan berikut.


Menjadi yang pertama untuk komen

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.