ከሶስት አመት እድገት በኋላ የተረጋጋ የስኩዊድ 5.1 ተኪ አገልጋይ በምርት ስርዓቶች ውስጥ ለመጠቀም ዝግጁ ሆኖ ቀርቧል (የተለቀቁት 5.0.x የቅድመ-ይሁንታ ስሪቶች ሁኔታ ነበረው)። የ 5.x ቅርንጫፉን የተረጋጋ ካደረገ በኋላ, አሁን ድክመቶችን እና የመረጋጋት ችግሮችን ብቻ ያስተካክላል, እና ጥቃቅን ማመቻቸትም ይፈቀዳል. የአዳዲስ ባህሪያት እድገት በአዲስ የሙከራ ቅርንጫፍ 6.0 ውስጥ ይካሄዳል. ያለፈው 4.x የተረጋጋ ቅርንጫፍ ተጠቃሚዎች ወደ 5.x ቅርንጫፍ ለመሸጋገር እንዲያቅዱ ይመከራሉ።
የስኩዊድ 5 ዋና ፈጠራዎች፡-
- ከውጫዊ የይዘት ቁጥጥር ስርዓቶች ጋር ለመዋሃድ የሚያገለግል የ ICAP ፕሮቶኮል (የኢንተርኔት ይዘት ማስማማት ፕሮቶኮል) መተግበሩ ለውሂብ አባሪ ዘዴ (ተጎታች) ድጋፍ ጨምሯል። ምላሽ (ለምሳሌ ቼክ እና ተለይተው የታወቁ ጉዳዮች ዝርዝሮችን መላክ ይችላሉ)።
- ጥያቄዎችን በሚቀይሩበት ጊዜ የ "Happy Eyeballs" አልጎሪዝም ጥቅም ላይ ይውላል, እሱም ወዲያውኑ የተቀበለውን አይፒ አድራሻ ይጠቀማል, ሁሉንም ሊገኙ የሚችሉ IPv4 እና IPv6 ዒላማ አድራሻዎች መፍትሄ ሳይጠብቅ. የ IPv4 ወይም IPv4 አድራሻ ቤተሰብ ጥቅም ላይ የሚውልበትን ቅደም ተከተል ለመወሰን የ"dns_v6_first" መቼት ከማጤን ይልቅ የዲ ኤን ኤስ ምላሽ ትዕዛዝ አሁን ይከበራል፡ የዲ ኤን ኤስ AAAA ምላሽ መጀመሪያ የአይፒ አድራሻ እስኪያገኝ ከደረሰ ውጤቱ IPv6 አድራሻ ጥቅም ላይ ይውላል። ስለዚህ ተመራጭ አድራሻ ቤተሰብን ማቀናበር አሁን በፋየርዎል፣ ዲ ኤን ኤስ ወይም ጅምር ደረጃ በ"--disable-ipv6" አማራጭ ይከናወናል። የታቀደው ለውጥ የTCP ግንኙነት ማዋቀር ጊዜን ያፋጥናል እና የዲ ኤን ኤስ መፍታት መዘግየት የአፈፃፀም ተፅእኖን ይቀንሳል።
- በ"external_acl" መመሪያ ውስጥ ለመጠቀም የ"ext_kerberos_sid_group_acl" ተቆጣጣሪው ከርቤሮስን በመጠቀም በቡድን ማረጋገጫ በActive Directory ለማረጋገጥ ታክሏል። በOpenLDAP ጥቅል የቀረበው የldapsearch መገልገያ የቡድኑን ስም ለመጠየቅ ይጠቅማል።
- በፍቃድ ጉዳዮች ምክንያት የበርክሌይ ዲቢ ቅርጸት ድጋፍ ተቋርጧል። የበርክሌይ ዲቢ 5.x ቅርንጫፍ ለብዙ ዓመታት ሳይቆይ የቆየ እና ያልተጣበቁ ተጋላጭነቶች ጋር ይቆያል፣ እና ወደ አዲስ የተለቀቁት መቀየር ፈቃዱን ወደ AGPLv3 መቀየር አይፈቅድም፣ መስፈርቶቹም በርክሌይዲቢን በመጠቀም በቤተ-መጽሐፍት መልክ - ስኩዊድ በGPLv2 ፍቃድ ተሰጥቶታል፣ እና AGPL ከ GPLv2 ጋር ተኳሃኝ አይደለም። ከበርክሌይ ዲቢ ይልቅ፣ ፕሮጀክቱ ወደ ትሪቪያል ዲቢኤምኤስ ለመጠቀም ተቀይሯል፣ እሱም፣ ከበርክሌይ ዲቢ በተለየ መልኩ፣ በአንድ ጊዜ በትይዩ የውሂብ ጎታ ላይ ለመድረስ የተመቻቸ ነው። የበርክሌይ ዲቢ ድጋፍ ለአሁን ተጠብቆ ቆይቷል፣ ነገር ግን የ"ext_session_acl" እና "ext_time_quota_acl" ተቆጣጣሪዎች አሁን ከ"libdb" ይልቅ የ"libtdb" ማከማቻ አይነት እንዲጠቀሙ ይመከራል።
- የይዘት ማቅረቢያ ኔትወርኮችን በሚጠቀሙበት ጊዜ ዑደቶችን ለመለየት የሚያስችል ለCDN-Loop HTTP ራስጌ የተጨመረ ድጋፍ (ራስጌው በሆነ ምክንያት በCDNs መካከል የማዘዋወር ሂደት ላይ ጥያቄው ተመልሶ ሲመለስ ከሁኔታዎች ይከላከላል) ኦሪጅናል ሲዲኤን ፣ ማለቂያ የሌለው ዑደት ይፈጥራል)።
- በ HTTP CONNECT ዘዴ ላይ በመመስረት መደበኛ መሿለኪያ በመጠቀም በመሸጎጫ ውስጥ በተገለጹ ሌሎች ተኪ አገልጋዮች በኩል የኤችቲቲፒኤስ ጥያቄዎችን ወደ ሌላ አቅጣጫ ለመቀየር ድጋፍ የተደረገ (የተመሰጠረ (የተመሰጠረ) የኤችቲቲፒኤስ ክፍለ ጊዜዎችን (ማስተላለፎችን) ለማደራጀት የሚያስችል ወደ SSL-Bump ዘዴ ተጨምሯል። Squid በTLS ውስጥ TLSን ማለፍ ስለማይችል በ HTTPS ላይ አይደገፍም። SSL-Bump የመጀመሪያውን የተጠለፈ HTTPS ጥያቄ ሲደርሰው ከዒላማው አገልጋይ ጋር የTLS ግንኙነት ለመመስረት እና የእውቅና ማረጋገጫውን ለማግኘት ይፈቅዳል። ከዚያ በኋላ ስኩዊድ የአስተናጋጅ ስምን ከአገልጋዩ ከተቀበለው እውነተኛ ሰርተፍኬት ይጠቀማል እና ከደንበኛው ጋር በሚገናኝበት ጊዜ የተጠየቀውን አገልጋይ የሚመስል የምስክር ወረቀት ይፈጥራል ፣ ከኢላማው አገልጋይ ጋር የተቋቋመውን የTLS ግንኙነት መረጃ ለመቀበል ይቀጥላል (ስለዚህ) መተካቱ በደንበኛው በኩል በአሳሾች ውስጥ ወደ የውጤት ማስጠንቀቂያዎች እንደማይወስድ ፣ የዱሚ የምስክር ወረቀቶችን ወደ ስርወ ሰርቲፊኬት ማከማቻ ለማመንጨት የሚያገለግል የምስክር ወረቀትዎን ማከል ያስፈልግዎታል።
- የNetfilter ምልክቶችን (CONNMARK) ከደንበኛ TCP ግንኙነቶች ወይም ከግል ጥቅሎች ጋር ለማያያዝ የማርክ_ደንበኛ_ግንኙነት እና የmark_client_pack መመሪያዎች ታክለዋል።
ሞቅ ያለ ክትትልን ተከትሎ፣ የሚከተሉት ተጋላጭነቶች የተስተካከሉበት የስኩዊድ 5.2 እና ስኩዊድ 4.17 ህትመቶች ታትመዋል።
- CVE-2021-28116 - በWCCPv2 የተሰሩ መልዕክቶችን በማስኬድ ላይ ሳለ የወጣ መረጃ። ተጋላጭነቱ አንድ አጥቂ የታወቁትን የWCCP ራውተሮች ዝርዝር እንዲያበላሽ እና የተኪ ደንበኛን ትራፊክ ወደ አስተናጋጅ እንዲያዞር ያስችለዋል። ችግሩ የሚታየው የWCCPv2 ድጋፍ በነቃ እና የራውተሩን አይፒ አድራሻ ማጭበርበር በሚቻልበት ውቅሮች ውስጥ ብቻ ነው።
- CVE-2021-41611 - የTLS ሰርተፊኬቶችን በማረጋገጥ ላይ ስህተት ተከስቷል ይህም ያልታመኑ የምስክር ወረቀቶችን በመጠቀም መድረስን ይፈቅዳል።
ምንጭ: opennet.ru