Pagkatapos ng tatlong taong pag-unlad ang paglabas ng bagong matatag na bersyon ng Squid 5.1 proxy server ay pinakawalan na handa nang gamitin sa mga system ng produksyon (ang mga bersyon na 5.0.x ay beta).
Matapos gawing matatag ang sangay na 5.x, mula ngayon, mga pag-aayos lamang ang gagawin para sa mga isyu sa kahinaan at katatagan, at papayagan din ang menor de edad na mga pag-optimize. Ang pagbuo ng mga bagong pag-andar ay magagawa sa bagong pang-eksperimentong sangay 6.0. Ang mga gumagamit ng mas matandang 4.x stable na sangay ay hinihimok na magplano ng isang paglipat sa sangay na 5.x.
Squid 5.1 Pangunahing Mga Bagong Tampok
Sa bagong bersyon na ito Ang suporta sa format ng Berkeley DB ay hindi na ginagamit dahil sa mga isyu sa paglilisensya. Ang sangay ng Berkeley DB 5.x ay hindi pinamamahalaan ng maraming taon at patuloy na hindi naipadala ang mga kahinaan, at ang pag-upgrade sa mga mas bagong bersyon ay hindi pinapayagan ang pagbabago ng lisensya ng AGPLv3, ang mga kinakailangan na nalalapat din sa mga application na gumagamit ng BerkeleyDB sa anyo ng silid-aklatan. - Ang pusit ay inilabas sa ilalim ng lisensya ng GPLv2 at ang AGPL ay hindi tugma sa GPLv2.
Sa halip na Berkeley DB, ang proyekto ay dinala upang magamit ang TrivialDB DBMS, na, hindi katulad sa Berkeley DB, na-optimize para sa sabay na parallel na pag-access sa database. Ang suporta ng Berkeley DB ay pinapanatili sa ngayon, ngunit inirerekumenda na ngayong gamitin ang "libtdb" na uri ng imbakan sa halip na "libdb" sa mga driver ng "ext_session_acl" at "ext_time_quota_acl".
Bilang karagdagan, idinagdag ang suporta para sa header ng HTTP CDN-Loop, na tinukoy sa RFC 8586, na nagpapahintulot sa pagtuklas ng mga loop kapag gumagamit ng mga network ng paghahatid ng nilalaman (ang header ay nagbibigay ng proteksyon laban sa mga sitwasyon kung saan ang isang kahilingan, sa panahon ng pag-redirect sa pagitan ng mga CDN para sa ilang kadahilanan, ay bumalik sa orihinal na CDN, na bumubuo ng isang walang katapusan na loop).
Bukod dito, ang mekanismo ng SSL-Bump, na nagpapahintulot sa intercept ng nilalaman ng mga naka-encrypt na session ng HTTPS, hisang karagdagang suporta para sa pag-redirect ng mga spoofed na kahilingan sa HTTPS sa pamamagitan ng iba pang mga server tinukoy ang proxy sa cache_peer gamit ang isang regular na lagusan batay sa pamamaraang HTTP CONNECT (ang pag-stream sa HTTPS ay hindi suportado dahil ang Squid ay hindi pa maaaring mag-stream ng TLS sa loob ng TLS).
Pinapayagan ng SSL-Bump, sa pagdating ng unang naharang na kahilingan sa HTTPS, upang magtaguyod ng isang koneksyon sa TLS kasama ang patutunguhang server at kunin ang sertipiko nito. Kasunod, Gumagamit ang pusit ng hostname ng aktwal na natanggap na sertipiko mula sa server at lumikha ng isang pekeng sertipiko, kung saan ginaya nito ang hiniling na server kapag nakikipag-ugnay sa kliyente, habang patuloy na ginagamit ang koneksyon ng TLS na itinatag sa patutunguhang server upang makatanggap ng data.
Naka-highlight din na ang pagpapatupad ng protocol ICAP (Internet Content Adaptation Protocol), na ginagamit para sa pagsasama sa mga panlabas na sistema ng pag-verify ng nilalaman, ay nagdagdag ng suporta para sa mekanismo ng attachment ng data na nagbibigay-daan sa iyo upang maglakip ng mga karagdagang header ng metadata sa tugon, na inilagay pagkatapos ng mensahe. katawan
Sa halip na isinasaalang-alang ang "dns_v4_first»Upang matukoy ang pagkakasunud-sunod ng paggamit ng IPv4 o IPv6 address na pamilya, ngayon ang pagkakasunud-sunod ng tugon sa DNS ay isinasaalang-alang- Kung ang sagot ng AAAA mula sa DNS ay unang lilitaw habang naghihintay para sa isang IP address na lutasin, gagamitin ang nagresultang IPv6 address. Samakatuwid, ang ginustong setting ng pamilya ng address ay tapos na ngayon sa firewall, DNS, o sa pagsisimula na may pagpipiliang "–disable-ipv6".
Ang iminungkahing pagbabago ay magpapabilis sa oras upang mai-configure ang mga koneksyon sa TCP at mabawasan ang epekto sa pagganap ng mga pagkaantala sa resolusyon ng DNS.
Kapag nagre-redirect ng mga kahilingan, ginagamit ang algorithm na "Happy Eyeballs", na agad na gumagamit ng natanggap na IP address, nang hindi naghihintay para sa lahat ng potensyal na magagamit na mga patutunguhang IPv4 at IPv6 address upang malutas.
Para magamit sa direktang "external_acl", ang driver na "ext_kerberos_sid_group_acl" ay naidagdag para sa pagpapatotoo sa mga pangkat ng pag-verify sa Aktibong Direktoryo gamit ang Kerberos. Ang utility na ldapsearch na ibinigay ng pakete ng OpenLDAP ay ginagamit upang tanungin ang pangalan ng pangkat.
Nagdagdag ng mark_client_connection at mark_client_pack directive upang maiugnay ang mga tag na Netfilter (CONNMARK) sa mga indibidwal na packet o koneksyon sa TCP ng client
Sa wakas nabanggit na ang pagsunod sa mga hakbang ng inilabas na mga bersyon ng Squid 5.2 at Squid 4.17 naayos ang mga kahinaan:
- CVE-2021-28116 - Tumagas ang impormasyon kapag pinoproseso ang espesyal na paggawa ng mga mensahe ng WCCPv2. Pinapayagan ng kahinaan ang isang umaatake na sirain ang listahan ng mga kilalang mga router ng WCCP at i-redirect ang trapiko mula sa proxy client patungo sa host nito. Ang problema ay nagpapakita lamang ng kanyang sarili sa mga pagsasaayos na pinagana ang suporta ng WCCPv2 at kung posible na lokohin ang IP address ng router.
- CVE-2021-41611: error sa pagpapatunay ng mga sertipiko ng TLS na nagbibigay-daan sa pag-access gamit ang mga hindi pinagkakatiwalaang mga sertipiko.
Panghuli, kung nais mong malaman ang tungkol dito, maaari mong suriin ang mga detalye Sa sumusunod na link.