Po treh letih razvoja predstavljena je bila izdaja nove stabilne različice strežnika proxy Squid 5.1 ki je pripravljen za uporabo v proizvodnih sistemih (različice 5.0.x so bile beta).
Ko je veja 5.x stabilna, od zdaj bodo popravljeni le ranljivosti in težave s stabilnostjo, dovoljene pa bodo tudi manjše optimizacije. Razvoj novih funkcij bo potekal v novi eksperimentalni veji 6.0. Uporabnike starejše stabilne podružnice 4.x priporočamo, da načrtujejo selitev v vejo 5.x.
Glavne nove funkcije Squid 5.1
V tej novi različici Podpora za format Berkeley DB je bila zaradi težav z licenciranjem opuščena. Podružnica Berkeley DB 5.x ni upravljana že nekaj let in ima še vedno nepoškodovane ranljivosti, nadgradnja na novejše različice pa ne omogoča spreminjanja licence AGPLv3, katere zahteve veljajo tudi za aplikacije, ki uporabljajo BerkeleyDB v obliki knjižnice. - Lignji se sproščajo pod licenco GPLv2 in AGPL ni združljiv z GPLv2.
Namesto Berkeley DB je bil projekt prenesen v uporabo TrivialDB DBMS, ki je za razliko od Berkeley DB optimiziran za hkraten vzporedni dostop do baze podatkov. Podpora za Berkeley DB je zaenkrat ohranjena, vendar je zdaj v gonilnikih "ext_session_acl" in "ext_time_quota_acl" namesto "libdb" priporočljivo uporabiti vrsto shranjevanja "libtdb".
Poleg tega je bila dodana podpora za glavo HTTP CDN-Loop, opredeljeno v RFC 8586, ki omogoča odkrivanje zank pri uporabi omrežij za dostavo vsebine (glava zagotavlja zaščito pred situacijami, v katerih se zahteva med preusmeritvijo med CDN iz nekega razloga vrne na izvirni CDN, ki tvori neskončno zanko).
Po drugi strani pa mehanizem SSL-Bump, ki omogoča prestrezanje vsebine šifriranih sej HTTPS, hdodana podpora za preusmerjanje ponarejenih zahtev HTTPS prek drugih strežnikov proxy, določen v cache_peer z uporabo običajnega tunela, ki temelji na metodi HTTP CONNECT (pretakanje prek HTTPS ni podprto, saj Squid še ne more pretakati TLS znotraj TLS).
SSL-Bump omogoča, da ob prihodu prve prestrežene zahteve HTTPS vzpostavi povezavo TLS z ciljnim strežnikom in pridobite njegovo potrdilo. Kasneje, Squid uporablja ime gostitelja dejanskega prejetega potrdila s strežnika in ustvarite ponarejeno potrdilo, s katerim posnema zahtevani strežnik pri interakciji s odjemalcem, medtem ko še naprej uporabljate povezavo TLS, vzpostavljeno s ciljnim strežnikom, za sprejem podatkov.
Poudarjeno je tudi, da je izvajanje protokola ICAP (Protokol za prilagajanje internetnih vsebin), ki se uporablja za integracijo z zunanjimi sistemi za preverjanje vsebine, je dodal podporo za mehanizem pritrjevanja podatkov ki vam omogoča, da odgovoru dodate dodatne glave metapodatkov, ki so postavljene za sporočilom. telo.
Namesto da bi upoštevali "dns_v4_first»Za določitev vrstnega reda uporabe družine naslovov IPv4 ali IPv6, zdaj se upošteva vrstni red odziva v DNS- Če se med čakanjem na razrešitev naslova IP najprej prikaže odgovor AAAA iz DNS, bo uporabljen nastali naslov IPv6. Zato je prednostna nastavitev družine naslovov zdaj izvedena v požarnem zidu, DNS-ju ali ob zagonu z možnostjo »–disable-ipv6«.
Predlagana sprememba bo pospešila čas za konfiguriranje povezav TCP in zmanjšala učinek zamud pri ločitvi DNS.
Pri preusmerjanju zahtev se uporablja algoritem "Happy Eyeballs", ki takoj uporabi prejeti naslov IP, ne da bi čakal na razrešitev vseh potencialno razpoložljivih ciljnih naslovov IPv4 in IPv6.
Za uporabo v direktivi "external_acl" je bil gonilnik "ext_kerberos_sid_group_acl" dodan za preverjanje pristnosti s skupinami za preverjanje v imeniku Active Directory z uporabo Kerberos. Pripomoček ldapsearch, ki ga ponuja paket OpenLDAP, se uporablja za poizvedovanje po imenu skupine.
Dodani sta direktivi mark_client_connection in mark_client_pack za vezavo oznak Netfilter (CONNMARK) na posamezne pakete ali povezave odjemalca TCP
Na koncu je omenjeno, da po korakih izdanih različic Squid 5.2 in Squid 4.17 odpravljene so bile ranljivosti:
- CVE-2021-28116-Uhajanje informacij pri obdelavi posebej izdelanih sporočil WCCPv2. Ranljivost omogoča napadalcu, da pokvari seznam znanih usmerjevalnikov WCCP in promet preusmeri iz odjemalca proxy na gostitelja. Težava se kaže le v konfiguracijah z omogočeno podporo WCCPv2 in kadar je mogoče ponarediti naslov IP usmerjevalnika.
- CVE-2021-41611: napaka pri preverjanju potrdil TLS, ki omogočajo dostop z uporabo nezaupanja vrednih potrdil.
Na koncu, če želite izvedeti več o tem, lahko preverite podrobnosti V naslednji povezavi.