Pas tre vitesh zhvillimi është prezantuar lëshimi i versionit të ri të qëndrueshëm të proxy serverit Squid 5.1 i cili është gati për përdorim në sistemet e prodhimit (versionet 5.0.x ishin beta).
Pasi e keni bërë degën 5.x të qëndrueshme, tani e tutje, vetëm rregullimet do të bëhen për dobësitë dhe çështjet e stabilitetit, dhe gjithashtu do të lejohen optimizime të vogla. Zhvillimi i funksioneve të reja do të bëhet në degën e re eksperimentale 6.0. Përdoruesit e degës më të vjetër të qëndrueshme 4.x inkurajohen të planifikojnë një migrim në degën 5.x.
Kallamar 5.1 Karakteristikat kryesore të reja
Në këtë version të ri Mbështetja e formatit Berkeley DB është zhvlerësuar për shkak të çështjeve të licencimitMe Dega Berkeley DB 5.x nuk është menaxhuar për disa vjet dhe vazhdon të ketë dobësi të pakapshme, dhe azhurnimi në versionet më të reja nuk lejon ndryshimin e licencës AGPLv3, kërkesat e së cilës zbatohen edhe për aplikacionet që përdorin BerkeleyDB në formën e bibliotekës. - Squid lëshohet nën licencën GPLv2 dhe AGPL është e papajtueshme me GPLv2.
Në vend të Berkeley DB, projekti u transferua për të përdorur TrivialDB DBMS, i cili, ndryshe nga Berkeley DB, është optimizuar për qasje paralele të njëkohshme në bazën e të dhënave. Mbështetja e Berkeley DB ruhet tani për tani, por tani rekomandohet përdorimi i llojit të ruajtjes "libtdb" në vend të "libdb" në drejtuesit "ext_session_acl" dhe "ext_time_quota_acl".
Për më tepër, u shtua mbështetje për kokën HTTP CDN-Loop, të përcaktuar në RFC 8586, e cila lejon zbulimin e sytheve kur përdorni rrjetet e shpërndarjes së përmbajtjes (titulli siguron mbrojtje kundër situatave në të cilat një kërkesë, gjatë ridrejtimit midis CDN-ve për ndonjë arsye, kthehet në CDN origjinale, duke formuar një lak të pafund).
Për më tepër, mekanizmi SSL-Bump, e cila lejon të përgjohet përmbajtja e sesioneve të koduara HTTPS, hnjë mbështetje e shtuar për përcjelljen e kërkesave të mashtruara HTTPS përmes serverëve të tjerë përfaqësuesi i specifikuar në cache_peer duke përdorur një tunel të rregullt bazuar në metodën HTTP CONNECT (transmetimi mbi HTTPS nuk mbështetet pasi Squid nuk mund të transmetojë ende TLS brenda TLS).
SSL-Bump lejon, me mbërritjen e kërkesës së parë të përgjuar HTTPS, të krijojë një lidhje TLS me serverin e destinacionit dhe merrni certifikatën e tij. Më pas, Squid përdor emrin e hostit të certifikatës aktuale të marrë nga serveri dhe krijoni një certifikatë të rreme, me të cilin imiton serverin e kërkuar kur bashkëvepron me klientin, ndërsa vazhdoni të përdorni lidhjen TLS të krijuar me serverin e destinacionit për të marrë të dhëna.
Gjithashtu theksohet se zbatimi i protokollit ICAP (Protokolli i Përshtatjes së Përmbajtjes në Internet), i cili përdoret për integrim me sistemet e verifikimit të jashtëm të përmbajtjes, ka shtuar mbështetjen për mekanizmin e bashkëngjitjes së të dhënave e cila lejon që titujve të meta të dhënave t'i bashkëngjiten përgjigjes, të vendosura pas mesazhit. trup.
Në vend që të merrni parasysh "dns_v4_first»Për të përcaktuar rendin e përdorimit të familjes së adresave IPv4 ose IPv6, tani rendi i përgjigjes në DNS merret parasysh- Nëse përgjigja AAAA nga DNS shfaqet së pari ndërsa prisni që një adresë IP të zgjidhet, adresa IPv6 që rezulton do të përdoret. Prandaj, cilësimi i preferuar i familjes së adresave tani bëhet në murin e zjarrit, DNS, ose në fillimin me opsionin "–disable-ipv6".
Ndryshimi i propozuar do të shpejtojë kohën për të konfiguruar lidhjet TCP dhe do të zvogëlojë ndikimin e performancës së vonesave në zgjidhjen e DNS.
Kur përcjellim kërkesat, përdoret algoritmi "Gëzuar sytë", e cila përdor menjëherë adresën IP të marrë, pa pritur që të zgjidhen të gjitha adresat e destinacionit potencialisht IPv4 dhe IPv6.
Për përdorim në direktivën "external_acl", drejtuesi "ext_kerberos_sid_group_acl" është shtuar për vërtetim me grupet e verifikimit në Active Directory duke përdorur Kerberos. Shërbimi ldapsearch i ofruar nga paketa OpenLDAP përdoret për të kërkuar emrin e grupit.
U shtuan direktiva mark_client_connection dhe mark_client_pack për të lidhur etiketat Netfilter (CONNMARK) tek paketat individuale ose lidhjet TCP të klientit
Më në fund përmendet se duke ndjekur hapat e versioneve të lëshuara të Squid 5.2 dhe Squid 4.17 dobësitë u rregulluan:
- CVE-2021-28116-Rrjedhje informacioni kur përpunoni mesazhe të krijuara posaçërisht WCCPv2. Dobësia lejon një sulmues të korruptojë listën e ruterave të njohur WCCP dhe të përcjellë trafikun nga klienti proxy tek hosti i tij. Problemi shfaqet vetëm në konfigurimet me mbështetjen e aktivizuar WCCPv2 dhe kur është e mundur të prishni adresën IP të ruterit.
- CVE-2021-41611: gabim në vërtetimin e certifikatave TLS që lejojnë qasje duke përdorur certifikata të pabesuara.
Më në fund, nëse doni të dini më shumë rreth kësaj, mund të kontrolloni detajet Në lidhjen vijuese.