หลังจากสามปีของการพัฒนา มีการนำเสนอเวอร์ชันเสถียรใหม่ของพร็อกซีเซิร์ฟเวอร์ Squid 5.1 แล้ว ซึ่งพร้อมใช้งานบนระบบการผลิตจริง (เวอร์ชัน 5.0.x เป็นเบต้า)
หลังจากทำให้สาขา 5.x เสถียรแล้ว จากนี้ไปจะมีการแก้ไขเฉพาะจุดอ่อนและปัญหาด้านความเสถียรเท่านั้นและการเพิ่มประสิทธิภาพเล็กน้อยจะได้รับอนุญาตด้วย การพัฒนาฟังก์ชันใหม่จะดำเนินการในสาขาทดลอง 6.0 ใหม่ ผู้ใช้ของสาขาเสถียร 4.x รุ่นเก่าควรวางแผนการโยกย้ายไปยังสาขา 5.x
Squid 5.1 คุณสมบัติใหม่หลัก
ในเวอร์ชันใหม่นี้ การสนับสนุนรูปแบบ Berkeley DB เลิกใช้แล้วเนื่องจากปัญหาการออกใบอนุญาต. สาขา Berkeley DB 5.x ไม่ได้รับการจัดการมาหลายปีแล้วและยังคงมีช่องโหว่ที่ไม่ได้รับการแก้ไข และการอัปเกรดเป็นเวอร์ชันที่ใหม่กว่าไม่อนุญาตให้เปลี่ยนใบอนุญาต AGPLv3 ซึ่งข้อกำหนดดังกล่าวยังใช้กับแอปพลิเคชันที่ใช้ BerkeleyDB ในรูปแบบของไลบรารีด้วย - Squid เปิดตัวภายใต้ลิขสิทธิ์ GPLv2 และ AGPL ไม่รองรับ GPLv2
แทนที่จะเป็น Berkeley DB โปรเจ็กต์นี้ถูกย้ายไปใช้ TrivialDB DBMS ซึ่งแตกต่างจาก Berkeley DB ซึ่งได้รับการปรับให้เหมาะสมสำหรับการเข้าถึงฐานข้อมูลแบบขนานพร้อมกัน ขณะนี้การสนับสนุน Berkeley DB ยังคงอยู่ แต่ตอนนี้ขอแนะนำให้ใช้ประเภทการจัดเก็บข้อมูล "libtdb" แทน "libdb" ในไดรเวอร์ "ext_session_acl" และ "ext_time_quota_acl"
นอกจากนี้ยังมีการเพิ่มการสนับสนุนสำหรับส่วนหัว HTTP CDN-Loop ซึ่งกำหนดไว้ใน RFC 8586 ซึ่งช่วยให้ตรวจพบลูปเมื่อใช้เครือข่ายการจัดส่งเนื้อหา (ส่วนหัวมีการป้องกันสถานการณ์ที่คำขอ ระหว่างการเปลี่ยนเส้นทางระหว่าง CDN ด้วยเหตุผลบางประการ จะส่งกลับ ไปยัง CDN ดั้งเดิม เพื่อสร้างวงวนไม่สิ้นสุด)
นอกจากนี้ กลไก SSL-Bump ซึ่งช่วยให้สามารถสกัดกั้นเนื้อหาของเซสชัน HTTPS ที่เข้ารหัสได้ hการสนับสนุนเพิ่มเติมสำหรับการเปลี่ยนเส้นทางคำขอ HTTPS ที่ปลอมแปลงผ่านเซิร์ฟเวอร์อื่น พร็อกซีที่ระบุใน cache_peer โดยใช้ช่องสัญญาณปกติตามวิธี HTTP CONNECT (ไม่รองรับการสตรีมผ่าน HTTPS เนื่องจาก Squid ยังไม่สามารถสตรีม TLS ภายใน TLS)
SSL-Bump อนุญาตให้สร้างการเชื่อมต่อ TLS เมื่อมาถึงคำขอ HTTPS ที่ดักจับครั้งแรก กับเซิร์ฟเวอร์ปลายทางและรับใบรับรอง ต่อมา Squid ใช้ชื่อโฮสต์ของใบรับรองจริงที่ได้รับ จากเซิร์ฟเวอร์และสร้างใบรับรองปลอม โดยจะเลียนแบบเซิร์ฟเวอร์ที่ร้องขอเมื่อโต้ตอบกับไคลเอนต์ในขณะที่ยังคงใช้การเชื่อมต่อ TLS ที่สร้างขึ้นกับเซิร์ฟเวอร์ปลายทางเพื่อรับข้อมูล
นอกจากนี้ยังเน้นว่าการดำเนินการตามโปรโตคอล ICAP (Internet Content Adaptation Protocol) ซึ่งใช้สำหรับการผสานรวมกับระบบตรวจสอบเนื้อหาภายนอก ได้เพิ่มการรองรับกลไกการแนบข้อมูล ซึ่งช่วยให้คุณแนบส่วนหัวของข้อมูลเมตาเพิ่มเติมในการตอบกลับ โดยวางไว้หลังข้อความ ร่างกาย.
แทนที่จะคำนึงถึง "dns_v4_first»เพื่อกำหนดลำดับการใช้ตระกูลที่อยู่ IPv4 หรือ IPv6 ตอนนี้ลำดับของการตอบสนองใน DNS ถูกนำมาพิจารณา- หากการตอบสนอง AAAA จาก DNS ปรากฏขึ้นก่อนในขณะที่รอให้ที่อยู่ IP แก้ไข ระบบจะใช้ที่อยู่ IPv6 ที่เป็นผลลัพธ์ ดังนั้น การตั้งค่ากลุ่มที่อยู่ที่ต้องการจึงเสร็จสิ้นในไฟร์วอลล์, DNS หรือเมื่อเริ่มต้นด้วยตัวเลือก "–disable-ipv6"
การเปลี่ยนแปลงที่เสนอนี้จะช่วยเร่งเวลาในการกำหนดค่าการเชื่อมต่อ TCP และลดผลกระทบด้านประสิทธิภาพของความล่าช้าในการแก้ปัญหา DNS
เมื่อเปลี่ยนเส้นทางคำขอจะใช้อัลกอริทึม "Happy Eyeballs" ซึ่งใช้ที่อยู่ IP ที่ได้รับทันที โดยไม่ต้องรอให้ที่อยู่ IPv4 และ IPv6 ปลายทางที่เป็นไปได้ทั้งหมดได้รับการแก้ไข
สำหรับใช้ในคำสั่ง "external_acl" ได้มีการเพิ่มไดรเวอร์ "ext_kerberos_sid_group_acl" สำหรับการตรวจสอบสิทธิ์กับกลุ่มการตรวจสอบใน Active Directory โดยใช้ Kerberos ยูทิลิตี ldapsearch ที่จัดเตรียมโดยแพ็กเกจ OpenLDAP ใช้เพื่อเคียวรีชื่อกลุ่ม
เพิ่มคำสั่ง mark_client_connection และ mark_client_pack เพื่อผูกแท็ก Netfilter (CONNMARK) กับแต่ละแพ็กเก็ตหรือการเชื่อมต่อ TCP ของไคลเอ็นต์
ในที่สุดก็มีการกล่าวถึงว่าทำตามขั้นตอนของ Squid 5.2 และ Squid 4.17 . รุ่นที่วางจำหน่าย ช่องโหว่ได้รับการแก้ไข:
- CVE-2021-28116 - ข้อมูลรั่วไหลเมื่อประมวลผลข้อความ WCCPv2 ที่สร้างขึ้นเป็นพิเศษ ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสร้างความเสียหายให้กับรายการเราเตอร์ WCCP ที่รู้จักและเปลี่ยนเส้นทางการรับส่งข้อมูลจากพร็อกซีไคลเอ็นต์ไปยังโฮสต์ ปัญหาจะปรากฏเฉพาะในการกำหนดค่าที่เปิดใช้งานการสนับสนุน WCCPv2 และเมื่อเป็นไปได้ที่จะปลอมแปลงที่อยู่ IP ของเราเตอร์
- CVE-2021-41611: ข้อผิดพลาดในการตรวจสอบใบรับรอง TLS ที่อนุญาตให้เข้าถึงโดยใช้ใบรับรองที่ไม่น่าเชื่อถือ
สุดท้ายหากคุณต้องการทราบข้อมูลเพิ่มเติมคุณสามารถตรวจสอบรายละเอียดได้ ในลิงค์ต่อไปนี้.