Squid 5.1 wuxuu yimaadaa kadib saddex sano oo horumar ah waana kuwan warkeeda

Ka dib saddex sano oo horumar ah sii deynta nooca cusub ee xasilloon ee wakiilka wakiilka Squid 5.1 ayaa la soo bandhigay kaas oo diyaar u ah in loo adeegsado nidaamyada wax soo saarka (noocyada 5.0.x waxay ahaayeen beta).

Ka dib markii laanta 5.x laga dhigay mid deggan, hadda wixii ka dambeeya, hagaajin kaliya ayaa loo samayn doonaa baylahnimada iyo arrimaha xasilloonida, iyo hagaajinnada yaryar ayaa sidoo kale la oggolaan doonaa. Horumarinta shaqooyin cusub ayaa lagu samayn doonaa laanta tijaabada ee cusub 6.0. Isticmaalayaasha laanta xasilloon ee 4.x ee hore ayaa lagu dhiirrigelinayaa inay qorsheeyaan u guurista laanta 5.x.

Squid 5.1 Tilmaamaha Cusub ee Cusub

Qaabkan cusub Taageerada qaabka Berkeley ee DB ayaa la dhimay sababo la xiriira ruqsad siinta. Laanta Berkeley DB 5.x lama maamulin dhawr sano waxayna sii wadaysaa inay leedahay nuglaansho aan la soo koobi karin, iyo kor u qaadista noocyadii hore ma oggola in la beddelo liisanka AGPLv3, shuruudaha kuwaas oo waliba khuseeya codsiyada isticmaalaya BerkeleyDB qaab maktabad. - Squid waxaa lagu sii daayaa shatiga GPLv2 iyo AGPL lama jaanqaadi karto GPLv2.

Halkii Berkeley DB, mashruuca ayaa loo wareejiyay si loo isticmaalo TrivialDB DBMS, kaas oo, si ka duwan Berkeley DB, loogu wanaajiyay helitaan isbarbar socda oo lagu galo keydka xogta. Taageerada Berkeley DB waa la hayaa hadda, laakiin hadda waxaa lagu talinayaa in lagu isticmaalo nooca kaydinta "libtdb" halkii laga isticmaali lahaa "libdb" darawalada "ext_session_acl" iyo "ext_time_quota_acl".

Intaa waxaa sii dheer, taageero ayaa lagu daray cinwaanka HTTP CDN-Loop, oo lagu qeexay RFC 8586, kaas oo u oggolaanaya ogaanshaha wareegyada marka la isticmaalayo shabakadaha gudbinta nuxurka (madaxu wuxuu bixiyaa kahortag xaalado codsi, inta lagu gudajiro wareejinta CDNs sabab uun, soo noqosho CDN -kii asalka ahaa, oo samaynaya loop aan dhammaad lahayn).

Dhinaca kale, farsamada SSL-Bump, taas oo u oggolaanaysa in la dhexgalo nuxurka fadhiyada HTTPS ee dahsoon, htaageero dheeri ah oo loogu talagalay dib -u -hagaajinta codsiyada HTTPS ee la jebiyey iyada oo loo marayo server -yo kale wakiil lagu cayimay cache_peer iyadoo la adeegsanayo tunnel joogto ah oo ku saleysan habka isku xirka HTTP (qulqulka HTTPS lama taageero maadaama Squid uusan weli ku shubi karin TLS gudaheeda TLS).

SSL-Bump wuxuu oggol yahay, marka codsiga HTTPS ee ugu horreeya ee la dhexgalo uu yimaado, si loo dhiso xiriir TLS leh server -ka bartilmaameedka ah oo hel shahaadadiisa. Ka dib, Squid waxay isticmaashaa magaca martida loo yahay shahaadada dhabta ah ee la helay server -ka oo samee shahaado been abuur ah, kaas oo ay ku daydo server -ka la codsaday marka uu la macaamilayo macmiilka, intaad sii waddo adeegsiga isku -xirka TLS ee lagu dhisay server -ka loo socdo si loo helo xog.

Waxaa kale oo la iftiimiyay in hirgelinta hab -maamuuska ICAP (Protocol Adaptation Protocol), kaas oo loo isticmaalo is -dhexgalka nidaamyada xaqiijinta maadada ee dibadda, waxay ku dartay taageerada farsamada lifaaqa xogta taas oo u oggolaanaysa madaxyo dheeraad ah oo metadata in lagu lifaaqo jawaabta, oo la dhigo farriinta kadib. jirka.

Halkii la tixgelin lahaa "dns_v4_first»Si loo go'aamiyo amarka isticmaalka IPv4 ama qoyska cinwaanka IPv6, hadda amarka jawaabta ee DNS waa la tixgeliyaa- Haddii jawaabta AAAA ee ka timaada DNS ay marka hore soo muuqato iyadoo la sugayo cinwaanka IP -ga si loo xaliyo, cinwaanka IPv6 ee soo baxay ayaa la adeegsan doonaa. Sidaa darteed, cinwaanka la doorbiday dejinta qoyska hadda waxaa lagu sameeyaa firewall, DNS, ama bilowga xulashada "–disable-ipv6".
Isbedelka la soo jeediyay wuxuu dedejin doonaa waqtiga si loo habeeyo isku xirka TCP oo loo yareeyo saameynta waxqabadka ee dib u dhaca xallinta DNS.

Marka dib loo rogo codsiyada, algorithm -ka "Indhaha Farxada leh" ayaa la adeegsadaa, kaas oo isla markiiba adeegsada cinwaanka IP -ga ee la helay, iyada oo aan la sugin dhammaan cinwaannada IPv4 iyo IPv6 ee la heli karo si loo xalliyo.

Si loogu isticmaalo dardaaranka "external_acl", darawalka "ext_kerberos_sid_group_acl" ayaa lagu daray xaqiijinta kooxaha xaqiijinta ee Tusaha Firfircoon iyadoo la adeegsanayo Kerberos. Adeegga ldapsearch ee ay bixiso xirmada OpenLDAP waxaa loo isticmaalaa in lagu weydiiyo magaca kooxda.

Waxaa lagu daray mark_client_connection iyo mark_client_pack dardaaranka si loogu xiro sumadaha Netfilter (CONNMARK) baakadaha shaqsiyeed ama xiriirada TCP macmiilka

Ugu dambayntii waxaa la xusay in la raacayo tillaabooyinka noocyadii la sii daayay ee Squid 5.2 iyo Squid 4.17 dayacanka ayaa la hagaajiyay:

  • CVE-2021-28116-Macluumaadku way daadanayaan marka la farsameynayo farriimaha WCCPv2 ee sida gaarka ah loo farsameeyay. Jilicsanaantu waxay u oggolaanaysaa weeraryahanku inuu musuqmaasuqo liisaska jiheeyeyaasha WCCP ee la yaqaan oo u wareejiyo taraafikada macmiilka wakiilka u ah martigeliyaha. Dhibaatadu waxay u muuqataa oo keliya isku -habeyn leh taageerida WCCPv2 iyo marka ay suurtogal tahay in la duubo cinwaanka IP -ga router -ka.
  • CVE-2021-41611: qalad marka la ansaxinayo shahaadooyinka TLS ee u oggolaanaya marin u helka iyadoo la adeegsanayo shahaadooyin aan la aamini karin.

Ugu dambeyntii, haddii aad rabto inaad wax badan ka ogaato, waad hubin kartaa faahfaahinta Xiriirka soo socda.


Noqo kuwa ugu horreeya ee faallo bixiya

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.