Sau ba năm phát triển phiên bản ổn định mới của máy chủ proxy Squid 5.1 đã được phát hành đã sẵn sàng để sử dụng trên hệ thống sản xuất (phiên bản 5.0.x là phiên bản beta).
Sau khi làm cho nhánh 5.x ổn định, kể từ bây giờ, chỉ các bản sửa lỗi sẽ được thực hiện cho các lỗ hổng bảo mật và các vấn đề ổn địnhvà các tối ưu hóa nhỏ cũng sẽ được cho phép. Việc phát triển các chức năng mới sẽ được thực hiện trong nhánh thử nghiệm mới 6.0. Người dùng của nhánh ổn định 4.x cũ hơn được khuyến khích lập kế hoạch di chuyển sang nhánh 5.x.
Các tính năng mới chính của Squid 5.1
Trong phiên bản mới này Hỗ trợ định dạng Berkeley DB đã không được dùng nữa do vấn đề cấp phép. Chi nhánh Berkeley DB 5.x đã không được quản lý trong vài năm và tiếp tục có các lỗ hổng chưa được vá và việc nâng cấp lên các phiên bản mới hơn không cho phép thay đổi giấy phép AGPLv3, các yêu cầu này cũng áp dụng cho các ứng dụng sử dụng BerkeleyDB dưới dạng thư viện. - Squid được phát hành theo giấy phép GPLv2 và AGPL không tương thích với GPLv2.
Thay vì Berkeley DB, dự án được chuyển sang sử dụng TrivialDB DBMS, mà, không giống như Berkeley DB, được tối ưu hóa để truy cập song song đồng thời vào cơ sở dữ liệu. Hiện tại, hỗ trợ Berkeley DB vẫn được duy trì, nhưng bạn nên sử dụng kiểu lưu trữ "libtdb" thay vì "libdb" trong trình điều khiển "ext_session_acl" và "ext_time_quota_acl".
Ngoài ra, hỗ trợ đã được thêm vào tiêu đề HTTP CDN-Loop, được định nghĩa trong RFC 8586, cho phép phát hiện các vòng lặp khi sử dụng mạng phân phối nội dung (tiêu đề cung cấp bảo vệ chống lại các tình huống trong đó một yêu cầu, trong quá trình chuyển hướng giữa các CDN vì một số lý do, trả về đến CDN ban đầu, tạo thành một vòng lặp vô hạn).
Hơn nữa, cơ chế SSL-Bump, cho phép chặn nội dung của các phiên HTTPS được mã hóa, hhỗ trợ bổ sung để chuyển hướng các yêu cầu HTTPS giả mạo thông qua các máy chủ khác proxy được chỉ định trong cache_peer bằng cách sử dụng đường hầm thông thường dựa trên phương thức HTTP CONNECT (truyền trực tuyến qua HTTPS không được hỗ trợ vì Squid chưa thể truyền TLS trong TLS).
SSL-Bump cho phép, khi có yêu cầu HTTPS bị chặn đầu tiên, thiết lập kết nối TLS với máy chủ đích và lấy chứng chỉ của nó. Sau đó, Squid sử dụng tên máy chủ của chứng chỉ thực nhận được từ máy chủ và tạo chứng chỉ giả, mà nó bắt chước máy chủ được yêu cầu khi tương tác với máy khách, trong khi tiếp tục sử dụng kết nối TLS được thiết lập với máy chủ đích để nhận dữ liệu.
Nó cũng được nhấn mạnh rằng việc thực hiện giao thức ICAP (Giao thức Thích ứng Nội dung Internet), được sử dụng để tích hợp với các hệ thống xác minh nội dung bên ngoài, đã hỗ trợ thêm cho cơ chế đính kèm dữ liệu cho phép bạn đính kèm các tiêu đề siêu dữ liệu bổ sung vào thư trả lời, được đặt sau thư. cơ thể người.
Thay vì tính đến "dns_v4_first»Để xác định thứ tự sử dụng họ địa chỉ IPv4 hoặc IPv6, bây giờ thứ tự của phản hồi trong DNS được tính đến- Nếu phản hồi AAAA từ DNS xuất hiện đầu tiên trong khi chờ địa chỉ IP phân giải, địa chỉ IPv6 kết quả sẽ được sử dụng. Do đó, cài đặt họ địa chỉ ưa thích hiện được thực hiện trong tường lửa, DNS hoặc khi khởi động với tùy chọn "–disable-ipv6".
Thay đổi được đề xuất sẽ tăng tốc thời gian định cấu hình kết nối TCP và giảm tác động hiệu suất của sự chậm trễ trong phân giải DNS.
Khi chuyển hướng yêu cầu, thuật toán "Happy Eyeballs" được sử dụng, mà ngay lập tức sử dụng địa chỉ IP đã nhận mà không cần đợi tất cả các địa chỉ IPv4 và IPv6 đích tiềm năng có sẵn được giải quyết.
Để sử dụng trong chỉ thị "external_acl", trình điều khiển "ext_kerberos_sid_group_acl" đã được thêm để xác thực với các nhóm xác minh trong Active Directory bằng cách sử dụng Kerberos. Tiện ích ldapsearch được cung cấp bởi gói OpenLDAP được sử dụng để truy vấn tên nhóm.
Đã thêm chỉ thị mark_client_connection và mark_client_pack để liên kết các thẻ Netfilter (CONNMARK) với các gói riêng lẻ hoặc kết nối TCP của ứng dụng khách
Cuối cùng, nó được đề cập rằng làm theo các bước của các phiên bản đã phát hành của Squid 5.2 và Squid 4.17 các lỗ hổng bảo mật đã được sửa:
- CVE-2021-28116 - Rò rỉ thông tin khi xử lý thông báo WCCPv2 được chế tạo đặc biệt. Lỗ hổng cho phép kẻ tấn công làm hỏng danh sách các bộ định tuyến WCCP đã biết và chuyển hướng lưu lượng truy cập từ máy khách proxy đến máy chủ của nó. Vấn đề chỉ xuất hiện trong các cấu hình được bật hỗ trợ WCCPv2 và khi có thể giả mạo địa chỉ IP của bộ định tuyến.
- CVE-2021-41611: lỗi khi xác thực chứng chỉ TLS cho phép truy cập bằng chứng chỉ không đáng tin cậy.
Cuối cùng, nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra chi tiết Trong liên kết sau đây.