סקוויד 5.1 ערייווז נאָך דריי יאָר פון אַנטוויקלונג און דאָס זענען די נייַקייַט

נאָך דרייַ יאר פון אַנטוויקלונג די מעלדונג פון די נייַ סטאַביל ווערסיע פון ​​די סקוויד 5.1 פראקסי סערווער איז פריי וואָס איז גרייט פֿאַר נוצן אויף פּראָדוקציע סיסטעמען (ווערסיעס 5.0.x זענען ביתא).

נאָך מאכן די 5.קס צווייַג סטאַביל, פֿון איצט אויף, בלויז פיקסיז וועט זיין געמאכט פֿאַר וואַלנעראַביליטיז און פעסטקייַט ישוז, און מינערווערטיק אַפּטאַמאַזיישאַנז וועט אויך זיין ערלויבט. די אַנטוויקלונג פון נייַע פאַנגקשאַנז וועט זיין דורכגעקאָכט אין די נייַע יקספּערמענאַל צווייַג 6.0. יוזערז פון די עלטערע 4.x סטאַביל צווייַג זענען ינקעראַדזשד צו פּלאַנירן אַ מייגריישאַן צו די 5.x צווייַג.

טינטפיש 5.1 הויפּט נייַ פֿעיִקייטן

אין דעם נייַ ווערסיע Berkeley DB פֿאָרמאַט שטיצן איז דיפּרישיייטיד רעכט צו לייסאַנסינג ישוז. די צווייַג פון Berkeley DB 5.x איז נישט געראטן פֿאַר עטלעכע יאָרן און האט אַנפּאַטשט וואַלנעראַביליטיז, און אַפּגריידינג צו נייַער ווערסיעס קען נישט טוישן טשאַנגינג די AGPLv3 דערלויבעניש. - סקוויד איז פריי אונטער די GPLv2 דערלויבעניש און AGPL איז ינקאַמפּאַטאַבאַל מיט GPLv2.

אַנשטאָט Berkeley DB, די פּרויעקט איז געווען טראַנספערד צו נוצן TrivialDB DBMS, וואָס, ניט ענלעך Berkeley DB, איז אָפּטימיזעד פֿאַר סיימאַלטייניאַס פּאַראַלעל אַקסעס צו די דאַטאַבייס. Berkeley DB שטיצן איז דערווייַל מיינטיינד, אָבער עס איז איצט רעקאַמענדיד צו נוצן די "libtdb" סטאָרידזש טיפּ אַנשטאָט פון "libdb" אין די "ext_session_acl" און "ext_time_quota_acl" דריווערס.

אין אַדישאַן, שטיצן איז צוגעגעבן פֿאַר די HTTP CDN-Loop כעדער, דיפיינד אין RFC 8586, וואָס אַלאַוז דיטעקטינג לופּס ווען ניצן אינהאַלט עקספּרעס נעטוואָרקס (די כעדער גיט שוץ קעגן סיטואַטיאָנס אין וואָס אַ בקשה, פֿון די רידערעקשאַן צווישן CDN פֿאַר עטלעכע סיבה, קערט צו דער אָריגינעל CDN, פאָרמינג אַ ינפאַנאַט שלייף).

דערצו, די SSL- באַמפּ מעקאַניזאַם, וואָס אַלאַוז די ינטערסעפּשאַן פון די ינקריפּטיד הטטפּס סעשאַנז, האַ צוגעלייגט שטיצן פֿאַר רידערעקטינג ספּאָאָף HTTPS ריקוועס דורך אנדערע סערווערס פּראַקסי ספּעסיפיעד אין cache_peer ניצן אַ רעגולער טונעל באזירט אויף די HTTP CONNECT אופֿן (סטרימינג איבער HTTPS איז נישט געשטיצט ווייַל סקוויד קען נאָך נישט סטרינען TLS אין TLS).

SSL-Bump אַלאַוז ביי אָנקומען פון דער ערשטער ינטערסעפּטאַד HTTPS בעטן צו פאַרלייגן אַ TLS פֿאַרבינדונג מיט די דעסטיניישאַן סערווער און באַקומען זיין באַווייַזן. דערנאָך, טינטפיש ניצט די האָסטנאַמע פון ​​די באקומען באַווייַזן פון די סערווער און שאַפֿן אַ שווינדל באַווייַזן, מיט וואָס עס ימיטייץ די געבעטן סערווער ווען ינטעראַקטינג מיט דעם קליענט, בשעת קאַנטיניוינג צו נוצן די TLS פֿאַרבינדונג מיט די דעסטיניישאַן סערווער צו באַקומען דאַטן.

עס איז אויך כיילייטיד אַז די ימפּלאַמענטיישאַן פון דעם פּראָטאָקאָל ICAP (אינטערנעט אינהאַלט אַדאַפּטאַטיאָן פּראָטאָקאָל), וואָס איז גענוצט פֿאַר ינטאַגריישאַן מיט פונדרויסנדיק אינהאַלט וועראַפאַקיישאַן סיסטעמען, האט צוגעגעבן שטיצן פֿאַר די מעקאַניזאַם פֿאַר אַטאַטשמאַנט פון דאַטן וואָס אַלאַוז איר צו צוטשעפּען נאָך מעטאַדאַטאַ כעדערז צו דעם ענטפער, געשטעלט נאָך דער אָנזאָג. גוף.

אַנשטאָט צו נעמען אין חשבון די "dns_v4_first»צו באַשטימען דעם סדר פון נוצן פון די IPv4 אָדער IPv6 אַדרעס משפּחה, איצט דער סדר פון דער ענטפער אין דנס איז גענומען אין חשבון- אויב די אַאַאַאַ ענטפער פון דנס דערשייַנען ערשטער בשעת איר וואַרטן פֿאַר אַן IP אַדרעס צו האַלטן, די ריזאַלטינג IPv6 אַדרעס וועט זיין געוויינט. דעריבער, די בילכער אַדרעס משפּחה באַשטעטיקן איז איצט דורכגעקאָכט אין די פיירוואַל, דנס אָדער ביי סטאַרטאַפּ מיט די "–דיסעאַבלע-יפּוו 6" אָפּציע.
די פארגעלייגט ענדערונג וועט פאַרגיכערן די צייט צו קאַנפיגיער טקפּ קאַנעקשאַנז און רעדוצירן די פּראַל פון פאָרשטעלונג פון דילייז אין דנס האַכלאָטע.

ווען רידערעקטינג ריקוועס, די "Happy Eyeballs" אַלגערידאַם איז געניצט, וואָס ניצט גלייך די באקומען IP אַדרעס, אָן ווארטן פֿאַר אַלע פּאַטענטשאַלי בנימצא דעסטיניישאַן IPv4 און IPv6 ווענדט צו זיין ריזאַלווד.

פֿאַר נוצן אין די "פונדרויסנדיק_אַקל" דירעקטיוו, די "ext_kerberos_sid_group_acl" שאָפער איז צוגעלייגט פֿאַר אָטענטאַקיישאַן מיט וועראַפאַקיישאַן גרופּעס אין אַקטיוו Directory ניצן Kerberos. די ldapsearch נוצן צוגעשטעלט דורך די OpenLDAP פּעקל איז גענוצט צו פרעגן די גרופּע נאָמען.

צוגעלייגט דירעקטיאָנס mark_client_connection און mark_client_pack צו בינדן נעטפילטער (CONNMARK) טאַגס צו יחיד פּאַקיץ אָדער קליענט טקפּ קאַנעקשאַנז

לעסאָף עס איז דערמאנט אַז נאָך די סטעפּס פון די פריי ווערסיעס פון סקוויד 5.2 און סקוויד 4.17 וואַלנעראַביליטיז זענען פאַרפעסטיקט:

  • CVE-2021-28116-אינפֿאָרמאַציע רינען ביי פּראַסעסינג ספּעשאַלי קראַפטעד WCCPv2 אַרטיקלען. די וואַלנעראַביליטי אַלאַוז אַן אַטאַקער צו פאַרדאָרבן די רשימה פון באַוווסט WCCP ראָוטערס און רידערעקט פאַרקער פון די פראקסי קליענט צו זיין באַלעבאָס. דער פּראָבלעם מאַנאַפעסט זיך בלויז אין קאַנפיגיעריישאַנז מיט WCCPv2 שטיצן ענייבאַלד און ווען עס איז מעגלעך צו ספּאָוף די IP אַדרעס פון די ראַוטער.
  • CVE-2021-41611: טעות ווען וואַלאַדייטינג TLS סערטיפיקאַץ וואָס לאָזן אַקסעס מיט ונטרוסטעד סערטיפיקאַץ.

לעסאָף, אויב איר ווילט וויסן מער וועגן אים, איר קענט קאָנטראָלירן די דעטאַילס אין די ווייַטערדיק לינק.


דער אינהאַלט פון דעם אַרטיקל אַדכיר צו אונדזער פּרינציפּן פון לייט עטיקס. צו מעלדונג אַ טעות גיט דאָ.

זייט דער ערשטער צו באַמערקן

לאָזן דיין באַמערקונג

אייער בליצפּאָסט אַדרעס וועט נישט זייַן ארויס.

*

*

  1. פאַראַנטוואָרטלעך פֿאַר די דאַטן: Miguel Ángel Gatón
  2. ציל פון די דאַטן: קאָנטראָל ספּאַם, קאָמענטאַר פאַרוואַלטונג.
  3. לעגיטימאַטיאָן: דיין צושטימען
  4. קאָמוניקאַציע פון ​​די דאַטן: די דאַטן וועט נישט זיין קאַמיונאַקייטיד צו דריט פּאַרטיעס אַחוץ דורך לעגאַל פליכט.
  5. דאַטן סטאָרידזש: דאַטאַבייס כאָוסטיד דורך Occentus Networks (EU)
  6. רעכט: צו קיין צייט איר קענט באַגרענעצן, צוריקקריגן און ויסמעקן דיין אינפֿאָרמאַציע.