Efter tre års utveckling lanseringen av den nya stabila versionen av Squid 5.1 -proxyservern har släppts som är redo att användas på produktionssystem (version 5.0.x var beta).
Efter att ha gjort 5.x grenen stabil, hädanefter kommer endast korrigeringar att göras för sårbarheter och stabilitetsproblem, och mindre optimeringar kommer också att tillåtas. Utvecklingen av nya funktioner kommer att ske i den nya försöksgrenen 6.0. Användare av den äldre 4.x -stabila grenen uppmuntras att planera en migrering till 5.x -grenen.
Squid 5.1 Huvudfunktioner
I den här nya versionen Berkeley DB -formatstöd har utfasats på grund av licensproblem. Berkeley DB 5.x -filialen har inte hanterats på flera år och fortsätter att ha ouppdaterade sårbarheter, och uppgradering till nyare versioner tillåter inte ändring av AGPLv3 -licensen, vars krav även gäller applikationer som använder BerkeleyDB i form av bibliotek. - Bläckfisk släpps under GPLv2 -licensen och AGPL är inte kompatibel med GPLv2.
Istället för Berkeley DB överfördes projektet till att använda TrivialDB DBMS, som, till skillnad från Berkeley DB, är optimerad för samtidig parallell åtkomst till databasen. Berkeley DB -stödet bibehålls för närvarande, men det rekommenderas nu att använda lagringstypen "libtdb" istället för "libdb" i "ext_session_acl" - och "ext_time_quota_acl" -drivrutinerna.
Dessutom har support lagts till för HTTP CDN-Loop-rubriken, definierad i RFC 8586, vilket gör det möjligt att upptäcka slingor vid användning av innehållsleveransnätverk (rubriken ger skydd mot situationer där en begäran, vid omdirigering mellan CDN av någon anledning, återkommer till det ursprungliga CDN, som bildar en oändlig slinga).
Dessutom, SSL-Bump-mekanismen, vilket gör att innehållet i krypterade HTTPS -sessioner kan fångas upp, hett extra stöd för omdirigering av falska HTTPS -förfrågningar via andra servrar proxy som anges i cache_peer med en vanlig tunnel baserad på HTTP CONNECT -metoden (streaming via HTTPS stöds inte eftersom Squid ännu inte kan strömma TLS inom TLS).
SSL-Bump tillåter, vid ankomsten av den första avlyssnade HTTPS-begäran, att upprätta en TLS-anslutning med målservern och få sitt certifikat. Senare, Bläckfisk använder värdnamnet för det faktiska mottagna certifikatet från servern och skapa ett falskt certifikat, med vilken den imiterar den begärda servern när den interagerar med klienten, medan du fortsätter att använda TLS -anslutningen som upprättats med destinationsservern för att ta emot data.
Det framhålls också att genomförandet av protokollet ICAP (Internet Content Adaptation Protocol), som används för integration med externa innehållsverifieringssystem, har lagt till stöd för datafästmekanismen som låter dig bifoga ytterligare metadatahuvuden till svaret, placerat efter meddelandet. kropp.
Istället för att ta hänsyn till "dns_v4_first»För att bestämma användningsordningen för IPv4- eller IPv6 -adressfamiljen, nu beaktas ordningen på svaret i DNS- Om AAAA -svaret från DNS visas först i väntan på att en IP -adress ska lösas kommer den resulterande IPv6 -adressen att användas. Därför görs den föredragna adressfamiljinställningen nu i brandväggen, DNS eller vid start med alternativet "–disable-ipv6".
Den föreslagna ändringen kommer att påskynda tiden för att konfigurera TCP -anslutningar och minska prestandaeffekten av förseningar i DNS -upplösning.
Vid omdirigering av förfrågningar används algoritmen "Happy Eyeballs", som omedelbart använder den mottagna IP -adressen, utan att vänta på att alla potentiellt tillgängliga destinations -IPv4- och IPv6 -adresser ska lösas.
För användning i "external_acl" -direktivet har "ext_kerberos_sid_group_acl" -drivrutinen lagts till för autentisering med verifieringsgrupper i Active Directory med Kerberos. Verktyget ldapsearch som tillhandahålls av OpenLDAP -paketet används för att fråga gruppnamnet.
Lade till mark_client_connection och mark_client_pack -direktiv för att binda Netfilter -taggar (CONNMARK) till enskilda paket eller klient -TCP -anslutningar
Slutligen nämns det att följa stegen i de släppta versionerna av Squid 5.2 och Squid 4.17 sårbarheter har åtgärdats:
- CVE-2021-28116-Informationsläckage vid behandling av specialgjorda WCCPv2-meddelanden. Sårbarheten gör att en angripare kan skada listan över kända WCCP -routrar och omdirigera trafik från proxyklienten till dess värd. Problemet manifesterar sig bara i konfigurationer med WCCPv2 -stöd aktiverat och när det är möjligt att förfalska routerns IP -adress.
- CVE-2021-41611: fel vid validering av TLS-certifikat som tillåter åtkomst med otillförlitliga certifikat.
Slutligen, om du vill veta mer om det, kan du kontrollera detaljerna I följande länk.