Squid 5.1 arriveert na drie jaar ontwikkeling en dit is het nieuws

Na drie jaar ontwikkeling Squid 5.1 Proxy Server Stabiele release vrijgegeven die klaar is voor gebruik op productiesystemen (versies 5.0.x waren bèta).

Nadat de 5.x-tak stabiel is gemaakt, vanaf nu worden alleen fixes gemaakt voor kwetsbaarheden en stabiliteitsproblemen, en kleine optimalisaties zijn ook toegestaan. De ontwikkeling van nieuwe functies zal gebeuren in de nieuwe experimentele tak 6.0. Gebruikers van de oudere 4.x stable branch worden aangemoedigd om een ​​migratie naar de 5.x branch te plannen.

Squid 5.1 Belangrijkste nieuwe functies

In deze nieuwe versie Ondersteuning voor Berkeley DB-indeling is beëindigd vanwege licentieproblemen. De Berkeley DB 5.x-tak is al enkele jaren niet meer beheerd en heeft nog steeds niet-gepatchte kwetsbaarheden, en het upgraden naar nieuwere versies maakt het niet mogelijk om de AGPLv3-licentie te wijzigen, waarvan de vereisten ook gelden voor toepassingen die BerkeleyDB gebruiken in de vorm van een bibliotheek. - Squid is vrijgegeven onder de GPLv2-licentie en AGPL is niet compatibel met GPLv2.

In plaats van Berkeley DB werd het project overgedragen om TrivialDB DBMS te gebruiken, die, in tegenstelling tot Berkeley DB, is geoptimaliseerd voor gelijktijdige parallelle toegang tot de database. Berkeley DB-ondersteuning blijft voorlopig behouden, maar het wordt nu aanbevolen om het opslagtype "libtdb" te gebruiken in plaats van "libdb" in de stuurprogramma's "ext_session_acl" en "ext_time_quota_acl".

Daarnaast is ondersteuning toegevoegd voor de HTTP CDN-Loop-header, gedefinieerd in RFC 8586, waarmee lussen kunnen worden gedetecteerd bij het gebruik van content delivery-netwerken (de header biedt bescherming tegen situaties waarin een verzoek, tijdens de omleiding tussen CDN's om wat voor reden dan ook, terugkeert naar het oorspronkelijke CDN, waardoor een oneindige lus ontstaat).

Daarnaast is het SSL-Bump-mechanisme, waarmee de inhoud van versleutelde HTTPS-sessies kan worden onderschept, heen extra ondersteuning voor het omleiden van vervalste HTTPS-verzoeken via andere servers proxy gespecificeerd in cache_peer met behulp van een reguliere tunnel op basis van de HTTP CONNECT-methode (streaming via HTTPS wordt niet ondersteund omdat Squid TLS nog niet binnen TLS kan streamen).

SSL-Bump maakt het mogelijk om bij aankomst van het eerste onderschepte HTTPS-verzoek een TLS-verbinding tot stand te brengen met de doelserver en het certificaat verkrijgen. Vervolgens, Squid gebruikt de hostnaam van het daadwerkelijk ontvangen certificaat van de server en maak een nepcertificaat aan, waarmee het de gevraagde server imiteert bij interactie met de client, terwijl u de TLS-verbinding die tot stand is gebracht met de doelserver blijft gebruiken om gegevens te ontvangen.

Er wordt ook benadrukt dat de implementatie van het protocol ICAP (Internet Content Adaptation Protocol), dat wordt gebruikt voor integratie met externe inhoudverificatiesystemen, heeft ondersteuning toegevoegd voor het gegevensbijlagemechanisme waarmee extra metadata-headers aan het antwoord kunnen worden toegevoegd, die na het bericht worden geplaatst. lichaam.

In plaats van rekening te houden met de "dns_v4_first»Om de gebruiksvolgorde van de IPv4- of IPv6-adresfamilie te bepalen, nu wordt rekening gehouden met de volgorde van de respons in DNS- Als het AAAA-antwoord van DNS als eerste verschijnt terwijl u wacht tot een IP-adres is opgelost, wordt het resulterende IPv6-adres gebruikt. Daarom wordt de voorkeursinstelling voor adresfamilie nu gedaan in de firewall, DNS of bij het opstarten met de optie "–disable-ipv6".
De voorgestelde wijziging versnelt de tijd om TCP-verbindingen te configureren en vermindert de prestatie-impact van vertragingen in DNS-resolutie.

Bij het omleiden van verzoeken wordt het "Happy Eyeballs"-algoritme gebruikt, die onmiddellijk het ontvangen IP-adres gebruikt, zonder te wachten tot alle potentieel beschikbare bestemmings-IPv4- en IPv6-adressen zijn opgelost.

Voor gebruik in de "external_acl"-richtlijn is het stuurprogramma "ext_kerberos_sid_group_acl" toegevoegd voor authenticatie met verificatiegroepen in Active Directory met behulp van Kerberos. Het hulpprogramma ldapsearch dat door het OpenLDAP-pakket wordt geleverd, wordt gebruikt om de groepsnaam op te vragen.

Mark_client_connection en mark_client_pack richtlijnen toegevoegd om Netfilter-tags (CONNMARK) te binden aan individuele pakketten of client-TCP-verbindingen

Ten slotte wordt vermeld dat het volgen van de stappen van de vrijgegeven versies van Squid 5.2 en Squid 4.17 kwetsbaarheden zijn verholpen:

  • CVE-2021-28116 - Informatielek bij het verwerken van speciaal vervaardigde WCCPv2-berichten. Door het beveiligingslek kan een aanvaller de lijst met bekende WCCP-routers beschadigen en verkeer van de proxyclient naar de host omleiden. Het probleem manifesteert zich alleen in configuraties met WCCPv2-ondersteuning ingeschakeld en wanneer het mogelijk is om het IP-adres van de router te vervalsen.
  • CVE-2021-41611: fout bij het valideren van TLS-certificaten die toegang toestaan ​​met niet-vertrouwde certificaten.

Als u er tenslotte meer over wilt weten, kunt u de details raadplegen In de volgende link.


De inhoud van het artikel voldoet aan onze principes van redactionele ethiek. Klik op om een ​​fout te melden hier.

Wees de eerste om te reageren

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.