Po troch rokoch vývoja bolo vydané vydanie novej stabilnej verzie proxy servera Squid 5.1 ktorý je pripravený na použitie na produkčných systémoch (verzie 5.0.x boli beta).
Po stabilizácii vetvy 5.x odteraz sa budú vykonávať iba opravy zraniteľností a problémov so stabilitou, a budú povolené aj menšie optimalizácie. Vývoj nových funkcií bude prebiehať v novej experimentálnej vetve 6.0. Používateľom staršej stabilnej vetvy 4.x sa odporúča naplánovať migráciu na vetvu 5.x.
Squid 5.1 Hlavné nové funkcie
V tejto novej verzii Podpora formátu Berkeley DB bola ukončená z dôvodu problémov s licenciou. Pobočka Berkeley DB 5.x nie je spravovaná niekoľko rokov a naďalej má nespracované zraniteľnosti a inovácia na novšie verzie neumožňuje zmenu licencie AGPLv3, ktorej požiadavky sa vzťahujú aj na aplikácie využívajúce BerkeleyDB vo forme knižnice. - Squid je vydávaný pod licenciou GPLv2 a AGPL nie je kompatibilný s GPLv2.
Namiesto Berkeley DB bol projekt prenesený na používanie TrivialDB DBMS, ktorý je na rozdiel od Berkeley DB optimalizovaný pre súčasný paralelný prístup k databáze. Podpora Berkeley DB je nateraz zachovaná, ale teraz sa odporúča používať v ovládačoch „ext_session_acl“ a „ext_time_quota_acl“ namiesto „libdb“ typ úložiska „libtdb“.
Okrem toho bola pridaná podpora pre hlavičku HTTP CDN-Loop definovanú v RFC 8586, ktorá umožňuje detekciu slučiek pri použití sietí na doručovanie obsahu (hlavička poskytuje ochranu pred situáciami, v ktorých sa požiadavka počas presmerovania medzi sieťami CDN z nejakého dôvodu vracia do pôvodnej CDN, tvoriacej nekonečnú slučku).
Okrem toho, mechanizmus SSL-Bump, ktorý umožňuje zachytenie obsahu šifrovaných relácií HTTPS, hpridaná podpora pre presmerovanie falošných požiadaviek HTTPS prostredníctvom iných serverov proxy zadaný v cache_peer pomocou pravidelného tunela založeného na metóde HTTP CONNECT (streamovanie cez HTTPS nie je podporované, pretože Squid zatiaľ nemôže streamovať TLS v rámci TLS).
SSL-Bump umožňuje, keď príde prvá zachytená požiadavka HTTPS, nadviazať spojenie TLS s cieľovým serverom a získať jeho certifikát. Následne Squid používa názov hostiteľa skutočného prijatého certifikátu zo servera a vytvorte falošný certifikát, s ktorým pri interakcii s klientom napodobňuje požadovaný server, pričom na prijímanie údajov naďalej používa pripojenie TLS nadviazané s cieľovým serverom.
Tiež sa zdôrazňuje, že implementácia protokolu ICAP (Internet Content Adaptation Protocol), ktorý sa používa na integráciu s externými systémami overovania obsahu, pridal podporu pre mechanizmus pripájania údajov čo vám umožní pripojiť k odpovedi ďalšie hlavičky metadát umiestnené za správou. telo.
Namiesto zohľadnenia „dns_v4_first»Ak chcete určiť poradie použitia rodiny adries IPv4 alebo IPv6, teraz sa berie do úvahy poradie reakcie v DNS- Ak sa pri čakaní na vyriešenie adresy IP najskôr zobrazí odpoveď AAAA zo systému DNS, použije sa výsledná adresa IPv6. Preferované nastavenie rodiny adries sa preto teraz vykonáva vo bráne firewall, DNS alebo pri spustení pomocou možnosti „–disable-ipv6“.
Navrhovaná zmena urýchli čas konfigurácie pripojení TCP a zníži vplyv oneskorení v rozlíšení DNS na výkon.
Pri presmerovaní žiadostí sa používa algoritmus „Happy Eyeballs“, ktorý okamžite použije prijatú IP adresu bez toho, aby čakal na vyriešenie všetkých potenciálne dostupných cieľových adries IPv4 a IPv6.
Na použitie v smernici „external_acl“ bol pridaný ovládač „ext_kerberos_sid_group_acl“ na autentifikáciu pomocou overovacích skupín v službe Active Directory pomocou systému Kerberos. Na zadanie dotazu na názov skupiny sa používa nástroj ldapsearch poskytovaný balíkom OpenLDAP.
Pridané direktívy mark_client_connection a mark_client_pack na viazanie značiek Netfilter (CONNMARK) na jednotlivé pakety alebo klientske pripojenia TCP
Nakoniec je uvedené, že podľa krokov vydaných verzií Squid 5.2 a Squid 4.17 chyby zabezpečenia boli opravené:
- CVE-2021-28116-Únik informácií pri spracovaní špeciálne vytvorených správ WCCPv2. Zraniteľnosť umožňuje útočníkovi poškodiť zoznam známych smerovačov WCCP a presmerovať prenos z proxy klienta na hostiteľa. Problém sa prejavuje iba v konfiguráciách s povolenou podporou WCCPv2 a vtedy, keď je možné sfalšovať IP adresu smerovača.
- CVE-2021-41611: chyba pri validácii certifikátov TLS, ktoré umožňujú prístup pomocou nedôveryhodných certifikátov.
Na záver, ak sa o ňom chcete dozvedieť viac, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.