Po trzech latach rozwoju opublikowano nową stabilną wersję serwera proxy Squid 5.1 który jest gotowy do użycia w systemach produkcyjnych (wersje 5.0.x były beta).
Po ustabilizowaniu gałęzi 5.x, od teraz będą naprawiane tylko luki w zabezpieczeniach i problemy ze stabilnością, dozwolone będą również drobne optymalizacje. Rozwój nowych funkcji będzie się odbywał w nowej gałęzi eksperymentalnej 6.0. Zachęcamy użytkowników starszej stabilnej gałęzi 4.x do zaplanowania migracji do gałęzi 5.x.
Squid 5.1 Główne nowe funkcje
W tej nowej wersji Obsługa formatu Berkeley DB została wycofana z powodu problemów licencyjnych. Gałąź Berkeley DB 5.x nie była zarządzana od kilku lat i nadal posiada niezałatane podatności, a aktualizacja do nowszych wersji nie pozwala na zmianę licencji AGPLv3, której wymagania dotyczą również aplikacji korzystających z BerkeleyDB w postaci biblioteki. - Squid został wydany na licencji GPLv2, a AGPL jest niekompatybilny z GPLv2.
Zamiast Berkeley DB projekt został przeniesiony na TrivialDB DBMS, który, w przeciwieństwie do Berkeley DB, jest zoptymalizowany pod kątem równoczesnego równoległego dostępu do bazy danych. Obsługa Berkeley DB jest na razie utrzymana, ale teraz zaleca się używanie typu pamięci "libtdb" zamiast "libdb" w sterownikach "ext_session_acl" i "ext_time_quota_acl".
Dodatkowo dodano obsługę nagłówka HTTP CDN-Loop, zdefiniowanego w RFC 8586, który umożliwia wykrywanie pętli podczas korzystania z sieci dostarczania treści (nagłówek zapewnia ochronę przed sytuacjami, w których żądanie, podczas przekierowania między CDN z jakiegoś powodu, zwraca do oryginalnego CDN, tworząc nieskończoną pętlę).
Ponadto mechanizm SSL-Bump, co pozwala na przechwycenie treści zaszyfrowanych sesji HTTPS, hdodano obsługę przekierowania sfałszowanych żądań HTTPS przez inne serwery proxy określone w cache_peer przy użyciu zwykłego tunelu opartego na metodzie HTTP CONNECT (przesyłanie strumieniowe przez HTTPS nie jest obsługiwane, ponieważ Squid nie może jeszcze przesyłać strumieniowo TLS w ramach TLS).
SSL-Bump umożliwia nawiązanie połączenia TLS po nadejściu pierwszego przechwyconego żądania HTTPS z serwerem docelowym i uzyskaj jego certyfikat. Następnie, Squid używa nazwy hosta otrzymanego certyfikatu z serwera i stworzyć fałszywy certyfikat, z którym imituje żądany serwer podczas interakcji z klientem, kontynuując korzystanie z połączenia TLS nawiązanego z serwerem docelowym do odbierania danych.
Podkreśla się również, że wdrożenie protokołu ICAP (Internet Content Adaptation Protocol), który służy do integracji z zewnętrznymi systemami weryfikacji treści, dodano obsługę mechanizmu dołączania danych co pozwala na dołączenie do odpowiedzi dodatkowych nagłówków metadanych, umieszczanych po wiadomości. ciało.
Zamiast brać pod uwagę „dns_v4_first»Aby określić kolejność używania rodziny adresów IPv4 lub IPv6, teraz brana jest pod uwagę kolejność odpowiedzi w DNS- Jeśli odpowiedź AAAA z DNS pojawi się jako pierwsza podczas oczekiwania na rozwiązanie adresu IP, zostanie użyty wynikowy adres IPv6. Dlatego ustawienie preferowanej rodziny adresów jest teraz wykonywane w zaporze, serwerze DNS lub podczas uruchamiania za pomocą opcji „–disable-ipv6”.
Proponowana zmiana przyspieszy czas konfiguracji połączeń TCP i zmniejszy wpływ opóźnień w rozdzielczości DNS na wydajność.
Podczas przekierowywania żądań używany jest algorytm „Happy Eyeballs”, który natychmiast używa otrzymanego adresu IP, bez czekania na rozwiązanie wszystkich potencjalnie dostępnych docelowych adresów IPv4 i IPv6.
Do użytku w dyrektywie „external_acl” dodano sterownik „ext_kerberos_sid_group_acl” do uwierzytelniania z grupami weryfikacyjnymi w Active Directory przy użyciu protokołu Kerberos. Narzędzie ldapsearch dostarczane przez pakiet OpenLDAP służy do wyszukiwania nazwy grupy.
Dodano dyrektywy mark_client_connection i mark_client_pack w celu powiązania tagów Netfilter (CONNMARK) z pojedynczymi pakietami lub połączeniami TCP klienta
Na koniec wspomniano, że podążając za krokami wydanych wersji Squid 5.2 i Squid 4.17 usunięto luki:
- CVE-2021-28116 — Wyciek informacji podczas przetwarzania specjalnie spreparowanych wiadomości WCCPv2. Luka umożliwia atakującemu uszkodzenie listy znanych routerów WCCP i przekierowanie ruchu z klienta proxy do jego hosta. Problem objawia się tylko w konfiguracjach z włączoną obsługą WCCPv2 i gdy istnieje możliwość sfałszowania adresu IP routera.
- CVE-2021-41611: błąd podczas sprawdzania poprawności certyfikatów TLS, które umożliwiają dostęp przy użyciu niezaufanych certyfikatów.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły W poniższym linku.