După trei ani de dezvoltare a fost prezentată lansarea noii versiuni stabile a serverului proxy Squid 5.1 care este gata de utilizare pe sistemele de producție (versiunile 5.0.x erau beta).
După stabilizarea ramurii 5.x stabile, de acum înainte, se vor face doar remedieri pentru vulnerabilități și probleme de stabilitateși vor fi permise și optimizări minore. Dezvoltarea de noi funcții se va face în noua ramură experimentală 6.0. Utilizatorii ramurii stabile 4.x mai vechi sunt încurajați să planifice o migrare către ramura 5.x.
Principalele caracteristici noi ale Squid 5.1
În această nouă versiune Suportul pentru formatul Berkeley DB a fost depreciat din cauza problemelor de licențiere. Sucursala Berkeley DB 5.x nu a fost gestionată de câțiva ani și continuă să aibă vulnerabilități neperectate, iar actualizarea la versiuni mai noi nu permite modificarea licenței AGPLv3, cerințele cărora se aplică și aplicațiilor care utilizează BerkeleyDB sub formă de bibliotecă. - Squid este eliberat sub licența GPLv2 și AGPL este incompatibil cu GPLv2.
În loc de Berkeley DB, proiectul a fost preluat pentru a utiliza TrivialDB DBMS, care, spre deosebire de Berkeley DB, este optimizat pentru acces paralel simultan la baza de date. Suportul Berkeley DB este menținut pentru moment, dar acum este recomandat să utilizați tipul de stocare „libtdb” în loc de „libdb” în driverele „ext_session_acl” și „ext_time_quota_acl”.
În plus, a fost adăugat suport pentru antetul HTTP CDN-Loop, definit în RFC 8586, care permite detectarea buclelor atunci când se utilizează rețele de livrare a conținutului (antetul oferă protecție împotriva situațiilor în care o cerere, în timpul redirecționării între CDN-uri din anumite motive, returnează la CDN-ul original, formând o buclă infinită).
Mai mult decât atât, mecanismul SSL-Bump, care permite interceptarea conținutului sesiunilor HTTPS criptate, hun suport suplimentar pentru redirecționarea cererilor HTTPS falsificate prin alte servere proxy specificat în cache_peer folosind un tunel obișnuit bazat pe metoda HTTP CONNECT (transmiterea prin HTTPS nu este acceptată deoarece Squid nu poate transmite încă TLS în TLS).
SSL-Bump permite, la sosirea primei cereri HTTPS interceptate, să stabilească o conexiune TLS cu serverul țintă și obțineți certificatul acestuia. Ulterior, Squid folosește numele gazdei certificatului primit efectiv de pe server și creați un certificat fals, cu care imită serverul solicitat atunci când interacționează cu clientul, în timp ce continuați să utilizați conexiunea TLS stabilită cu serverul de destinație pentru a primi date.
De asemenea, se evidențiază faptul că implementarea protocolului ICAP (Protocol de adaptare a conținutului Internet), care este utilizat pentru integrarea cu sisteme de verificare a conținutului extern, a adăugat suport pentru mecanismul de atașare a datelor care permite atașarea anteturilor de metadate suplimentare la răspuns, plasate după mesaj. corp.
În loc să ia în considerare „dns_v4_first»Pentru a determina ordinea de utilizare a familiei de adrese IPv4 sau IPv6, acum se ia în calcul ordinea răspunsului în DNS- Dacă răspunsul AAAA de la DNS apare primul în timp ce așteptați rezolvarea unei adrese IP, va fi utilizată adresa IPv6 rezultată. Prin urmare, setarea preferată a familiei de adrese se face acum în firewall, DNS sau la pornire cu opțiunea „–disable-ipv6”.
Modificarea propusă va accelera timpul de configurare a conexiunilor TCP și va reduce impactul performanței întârzierilor în rezoluția DNS.
La redirecționarea cererilor, se utilizează algoritmul „Happy Eyeballs”, care utilizează imediat adresa IP primită, fără a aștepta soluționarea tuturor adreselor IPv4 și IPv6 de destinație potențial disponibile.
Pentru utilizare în directiva „external_acl”, driverul „ext_kerberos_sid_group_acl” a fost adăugat pentru autentificare cu grupuri de verificare din Active Directory folosind Kerberos. Utilitarul ldapsearch furnizat de pachetul OpenLDAP este utilizat pentru interogarea numelui grupului.
S-au adăugat directivele mark_client_connection și mark_client_pack pentru a lega etichetele Netfilter (CONNMARK) de pachete individuale sau conexiuni TCP client
În cele din urmă, se menționează că urmând pașii versiunilor lansate de Squid 5.2 și Squid 4.17 vulnerabilitățile au fost remediate:
- CVE-2021-28116 - Scurgerea informațiilor la procesarea mesajelor special elaborate WCCPv2. Vulnerabilitatea permite unui atacator să corupă lista de routere WCCP cunoscute și să redirecționeze traficul de la clientul proxy la gazda acestuia. Problema se manifestă numai în configurații cu suport WCCPv2 activat și când este posibil să falsifice adresa IP a routerului.
- CVE-2021-41611: eroare la validarea certificatelor TLS care permit accesul utilizând certificate de încredere.
În cele din urmă, dacă doriți să aflați mai multe despre aceasta, puteți verifica detaliile În următorul link.