Üç yıllık gelişimden sonra Squid 5.1 proxy sunucusunun yeni kararlı sürümünün sürümü yayınlandı üretim sistemlerinde kullanıma hazır olan (sürüm 5.0.x beta idi).
5.x dalını kararlı hale getirdikten sonra, bundan sonra sadece güvenlik açıkları ve kararlılık sorunları için düzeltmeler yapılacaktır.ve küçük optimizasyonlara da izin verilecektir. Yeni deneysel dal 6.0'da yeni fonksiyonların geliştirilmesi yapılacaktır. Daha eski 4.x kararlı dalının kullanıcıları, 5.x dalına geçiş planlamaya teşvik edilir.
Squid 5.1 Ana Yeni Özellikler
Bu yeni versiyonda Berkeley DB biçimi desteği, lisans sorunları nedeniyle kullanımdan kaldırıldı. Berkeley DB 5.x şubesi birkaç yıldır yönetilmiyor ve yama uygulanmamış güvenlik açıklarına sahip olmaya devam ediyor ve daha yeni sürümlere yükseltme, gereksinimleri kitaplık biçiminde BerkeleyDB kullanan uygulamalar için de geçerli olan AGPLv3 lisansının değiştirilmesine izin vermiyor. - Squid, GPLv2 lisansı altında piyasaya sürüldü ve AGPL, GPLv2 ile uyumlu değil.
Proje, Berkeley DB yerine TrivialDB DBMS'ye devredildi, bu, Berkeley DB'den farklı olarak, veritabanına eşzamanlı paralel erişim için optimize edilmiştir. Berkeley DB desteği şimdilik devam ediyor, ancak artık "ext_session_acl" ve "ext_time_quota_acl" sürücülerinde "libdb" yerine "libtdb" depolama türünün kullanılması önerilir.
Ek olarak, RFC 8586'da tanımlanan ve içerik dağıtım ağlarını kullanırken döngüleri algılamaya izin veren HTTP CDN-Döngüsü başlığı için destek eklendi (başlık, herhangi bir nedenle CDN'ler arasında yeniden yönlendirme sırasında bir isteğin döndüğü durumlara karşı koruma sağlar). sonsuz bir döngü oluşturan orijinal CDN'ye).
Ayrıca, SSL-Bump mekanizması, bu, şifreli HTTPS oturumlarının içeriğinin ele geçirilmesine izin verir, hsahte HTTPS isteklerini diğer sunucular aracılığıyla yeniden yönlendirmek için ek bir destek HTTP CONNECT yöntemine dayalı normal bir tünel kullanılarak cache_peer'de belirtilen proxy (Squid henüz TLS içinde TLS akışı sağlayamadığından HTTPS üzerinden akış desteklenmez).
SSL-Bump, yakalanan ilk HTTPS isteğinin gelmesi üzerine bir TLS bağlantısı kurmasına izin verir hedef sunucu ile ve sertifikasını alın. Daha sonra, Squid, alınan gerçek sertifikanın ana bilgisayar adını kullanır sunucudan ve sahte bir sertifika oluşturun, istemciyle etkileşime girerken istenen sunucuyu taklit ettiği, veri almak için hedef sunucu ile kurulan TLS bağlantısını kullanmaya devam ederken.
Protokolün uygulanmasının da önemli olduğu vurgulandı. ICAP Harici içerik doğrulama sistemleri ile entegrasyon için kullanılan (İnternet İçerik Uyarlama Protokolü), veri ekleme mekanizması için destek ekledi bu, iletiden sonra eklenen yanıta ek meta veri başlıklarının eklenmesine izin verir. vücut.
"dns_v4_first" değerini dikkate almak yerine»IPv4 veya IPv6 adres ailesinin kullanım sırasını belirlemek için, şimdi DNS'deki yanıtın sırası dikkate alınır- Bir IP adresinin çözülmesini beklerken önce DNS'den gelen AAAA yanıtı görünürse, elde edilen IPv6 adresi kullanılacaktır. Bu nedenle, tercih edilen adres ailesi ayarı artık güvenlik duvarında, DNS'de veya başlatma sırasında "–disable-ipv6" seçeneğiyle yapılır.
Önerilen değişiklik, TCP bağlantılarını yapılandırma süresini hızlandıracak ve DNS çözümlemesindeki gecikmelerin performans üzerindeki etkisini azaltacaktır.
İstekler yönlendirilirken "Mutlu Gözler" algoritması kullanılır, potansiyel olarak kullanılabilir tüm hedef IPv4 ve IPv6 adreslerinin çözülmesini beklemeden alınan IP adresini hemen kullanır.
"external_acl" yönergesinde kullanılmak üzere, Kerberos kullanılarak Active Directory'de doğrulama gruplarıyla kimlik doğrulama için "ext_kerberos_sid_group_acl" sürücüsü eklenmiştir. OpenLDAP paketi tarafından sağlanan ldapsearch yardımcı programı, grup adını sorgulamak için kullanılır.
Netfilter (CONNMARK) etiketlerini tek tek paketlere veya istemci TCP bağlantılarına bağlamak için mark_client_connection ve mark_client_pack yönergeleri eklendi
Son olarak Squid 5.2 ve Squid 4.17'nin yayınlanan sürümlerindeki adımların takip edilmesinden bahsediliyor. güvenlik açıkları giderildi:
- CVE-2021-28116 - Özel hazırlanmış WCCPv2 iletileri işlenirken bilgi sızıntısı. Güvenlik açığı, bir saldırganın bilinen WCCP yönlendiricileri listesini bozmasına ve proxy istemcisinden ana bilgisayara trafiği yeniden yönlendirmesine olanak tanır. Sorun, yalnızca WCCPv2 desteğinin etkin olduğu yapılandırmalarda ve yönlendiricinin IP adresinin taklit edilmesinin mümkün olduğu durumlarda kendini gösterir.
- CVE-2021-41611: güvenilmeyen sertifikaları kullanarak erişime izin veren TLS sertifikalarını doğrulama hatası.
Son olarak, hakkında daha fazla bilgi edinmek istiyorsanız, ayrıntıları kontrol edebilirsiniz. Aşağıdaki bağlantıda.