ProHoster > Blog > internet nuus > Stabiele vrystelling van Squid 5-instaanbediener

Stabiele vrystelling van Squid 5-instaanbediener

Na drie jaar van ontwikkeling word 'n stabiele vrystelling van die Squid 5.1-instaanbediener aangebied, gereed vir gebruik in produksiestelsels (vrystellings 5.0.x het die status van beta-weergawes gehad). Nadat die 5.x-tak stabiel gemaak is, sal dit nou net kwesbaarhede en stabiliteitskwessies regstel, en geringe optimaliserings word ook toegelaat. Ontwikkeling van nuwe kenmerke sal in 'n nuwe eksperimentele tak 6.0 uitgevoer word. Gebruikers van die vorige 4.x-stabiele tak word aangeraai om te beplan om na die 5.x-tak te migreer.

Belangrikste innovasies van Squid 5:

  • Die implementering van die ICAP-protokol (Internet Content Adaptation Protocol), wat gebruik word vir integrasie met eksterne inhoudinspeksiestelsels, het ondersteuning bygevoeg vir die data-aanhegtingsmeganisme (sleepwa), wat jou toelaat om bykomende opskrifte met metadata wat na die boodskapliggaam geplaas is, aan die reaksie (jy kan byvoorbeeld 'n kontrolesom en besonderhede van die geïdentifiseerde kwessies stuur).
  • Wanneer versoeke herlei word, word die "Happy Eyeballs"-algoritme gebruik, wat onmiddellik die ontvangde IP-adres gebruik, sonder om te wag vir die oplossing van alle potensieel beskikbare IPv4- en IPv6-teikenadresse. In plaas daarvan om die "dns_v4_first"-instelling te oorweeg om die volgorde te bepaal waarin 'n IPv4- of IPv6-adresfamilie gebruik word, word DNS-reaksievolgorde nou gerespekteer: as 'n DNS AAAA-antwoord eerste arriveer terwyl daar gewag word vir 'n IP-adres om opgelos te word, dan word die gevolglike IPv6-adres sal gebruik word. Die instelling van die voorkeuradresfamilie word dus nou op die firewall-, DNS- of opstartvlak gedoen met die "--disable-ipv6" opsie. Die voorgestelde verandering versnel die opsteltyd van TCP-verbinding en verminder die prestasie-impak van DNS-resolusie-vertraging.
  • Vir gebruik in die "external_acl"-riglyne, is die "ext_kerberos_sid_group_acl"-hanteerder bygevoeg vir verifikasie met groepverifikasie in Active Directory met Kerberos. Om die groepnaam te bevraagteken, gebruik die ldapsearch-nutsding wat deur die OpenLDAP-pakket verskaf word.
  • Ondersteuning vir die Berkeley DB-formaat is opgeskort weens lisensiekwessies. Die Berkeley DB 5.x-tak word vir 'n paar jaar nie onderhou nie en bly met onverwerkte kwesbaarhede, en die oorskakeling na nuwer vrystellings laat nie toe dat die lisensie na AGPLv3 verander word nie, waarvan die vereistes ook geld vir toepassings wat BerkeleyDB in die vorm van 'n biblioteek gebruik - Squid is onder die GPLv2 gelisensieer, en AGPL is onversoenbaar met GPLv2. In plaas van Berkeley DB, is die projek oorgeskakel na die gebruik van die TrivialDB DBMS, wat, anders as Berkeley DB, geoptimaliseer is vir gelyktydige parallelle toegang tot die databasis. Berkeley DB-ondersteuning is vir eers behou, maar die "ext_session_acl"- en "ext_time_quota_acl"-hanteerders word nou aanbeveel om die "libtdb"-bergingtipe in plaas van "libdb" te gebruik.
  • Bygevoeg ondersteuning vir die CDN-Loop HTTP-opskrif, gedefinieer in RFC 8586, wat jou toelaat om lusse op te spoor wanneer inhoudafleweringsnetwerke gebruik word (die kop bied beskerming teen situasies wanneer 'n versoek in die proses van herleiding tussen CDN's om een ​​of ander rede terugkeer na die oorspronklike CDN, wat 'n oneindige lus vorm).
  • Ondersteuning vir die herleiding van bedrieglike (hergeïnkripteerde) HTTPS-versoeke deur ander instaanbedieners wat in cache_peer gespesifiseer is deur gebruik te maak van 'n gewone tonnel gebaseer op die HTTP CONNECT-metode is by die SSL-Bump-meganisme gevoeg, wat dit moontlik maak om die onderskepping van die inhoud van geënkripteerde HTTPS-sessies (oordrag) te organiseer oor HTTPS word nie ondersteun nie aangesien Squid nog nie TLS binne TLS kan slaag nie). SSL-Bump laat toe om, by ontvangs van die eerste onderskepte HTTPS-versoek, 'n TLS-verbinding met die teikenbediener te vestig en sy sertifikaat te verkry. Daarna gebruik Squid die gasheernaam van die regte sertifikaat wat van die bediener ontvang is en skep 'n dummy-sertifikaat waarmee dit die aangevraagde bediener naboots wanneer dit met die kliënt in wisselwerking tree, terwyl hy voortgaan om die TLS-verbinding wat met die teikenbediener geskep is, te gebruik om data te ontvang (dus dat die vervanging nie lei tot die uitvoerwaarskuwings in blaaiers aan die kliëntkant nie, moet jy jou sertifikaat wat gebruik word om dummy-sertifikate te genereer by die wortelsertifikaatstoor byvoeg).
  • Bygevoeg mark_client_connection en mark_client_pack-aanwysings om Netfilter-merke (CONNMARK) aan kliënt TCP-verbindings of individuele pakkies te bind.

Na aanleiding van die soektog is die vrystellings van Squid 5.2 en Squid 4.17 gepubliseer waarin die volgende kwesbaarhede reggestel is:

  • CVE-2021-28116 - Inligting het uitgelek tydens die verwerking van WCCPv2-vervaardigde boodskappe. Die kwesbaarheid laat 'n aanvaller toe om die lys van bekende WCCP-roeteerders te korrupteer en instaanbediener-kliëntverkeer na hul gasheer te herlei. Die probleem verskyn slegs in konfigurasies met WCCPv2-ondersteuning geaktiveer en wanneer dit moontlik is om die roeteerder se IP-adres te bedrieg.
  • CVE-2021-41611 - 'n Fout het voorgekom tydens die validering van TLS-sertifikate, wat toegang verleen met behulp van onvertroude sertifikate.

Bron: opennet.ru

Voeg 'n opmerking