Üç illik inkişafdan sonra istehsal sistemlərində istifadəyə hazır olan Squid 5.1 proksi serverinin stabil buraxılışı təqdim olunur (relizlər 5.0.x beta versiya statusuna malik idi). 5.x filialını stabil etdikdən sonra o, indi yalnız zəiflikləri və sabitlik problemlərini həll edəcək və kiçik optimallaşdırmalara da icazə verilir. Yeni funksiyaların inkişafı yeni eksperimental filial 6.0-da həyata keçiriləcək. Keçmiş 4.x stabil filialının istifadəçilərinə 5.x filialına köçməyi planlaşdırmaq tövsiyə olunur.
Squid 5-in əsas yenilikləri:
- Xarici məzmun təftiş sistemləri ilə inteqrasiya üçün istifadə edilən ICAP protokolunun (İnternet Məzmununun Uyğunlaşdırılması Protokolu) tətbiqi məlumatların əlavə edilməsi mexanizmi (treyler) üçün əlavə dəstək verdi ki, bu da mesajın mətnindən sonra yerləşdirilən metadata ilə əlavə başlıqları əlavə etməyə imkan verir. cavab (məsələn, yoxlama məbləğini və müəyyən edilmiş məsələlərin təfərrüatlarını göndərə bilərsiniz).
- Sorğuları yönləndirərkən, bütün potensial mövcud IPv4 və IPv6 hədəf ünvanlarının həllini gözləmədən dərhal alınan IP ünvanından istifadə edən "Xoşbəxt Göz bəbəkləri" alqoritmi istifadə olunur. IPv4 və ya IPv4 ünvan ailəsinin istifadə qaydasını müəyyən etmək üçün "dns_v6_first" parametrini nəzərdən keçirmək əvəzinə, indi DNS cavab sırasına riayət edilir: əgər DNS AAAA cavabı əvvəlcə IP ünvanının həllini gözləyərkən gəlsə, nəticədə IPv6 ünvanı istifadə olunacaq. Beləliklə, üstünlük verilən ünvan ailəsinin qurulması indi firewall, DNS və ya başlanğıc səviyyəsində "--disable-ipv6" seçimi ilə həyata keçirilir. Təklif olunan dəyişiklik TCP bağlantısı quraşdırma vaxtını sürətləndirir və DNS həlletmə gecikməsinin performans təsirini azaldır.
- "external_acl" direktivində istifadə üçün Kerberos istifadə edərək Active Directory-də qrup yoxlaması ilə autentifikasiya üçün "ext_kerberos_sid_group_acl" işləyicisi əlavə edilmişdir. OpenLDAP paketi tərəfindən təmin edilən ldapsearch yardım proqramı qrup adını sorğulamaq üçün istifadə olunur.
- Lisenziyalaşdırma problemlərinə görə Berkeley DB formatına dəstək ləğv edilib. Berkeley DB 5.x filialı bir neçə ildir baxımsızdır və düzəldilməyən zəifliklərlə qalır və daha yeni buraxılışlara keçid lisenziyanı AGPLv3-ə dəyişdirməyə imkan vermir, tələbləri BerkeleyDB-dən kitabxana şəklində istifadə edən tətbiqlərə də aiddir - Squid GPLv2 ilə lisenziyalaşdırılıb və AGPL GPLv2 ilə uyğun gəlmir. Berkeley DB əvəzinə layihə, Berkeley DB-dən fərqli olaraq verilənlər bazasına eyni vaxtda paralel daxil olmaq üçün optimallaşdırılmış TrivialDB DBMS-dən istifadəyə keçdi. Berkeley DB dəstəyi hələlik saxlanılıb, lakin "ext_session_acl" və "ext_time_quota_acl" işləyicilərinə indi "libdb" əvəzinə "libtdb" yaddaş növündən istifadə etmək tövsiyə olunur.
- RFC 8586-da müəyyən edilmiş CDN-Loop HTTP başlığı üçün əlavə dəstək, məzmunun çatdırılması şəbəkələrindən istifadə edərkən döngələri aşkar etməyə imkan verir (başlıq CDN-lər arasında yönləndirmə prosesində hansısa səbəbə görə sorğunun geri qayıtması hallarından qorunma təmin edir. orijinal CDN, sonsuz bir döngə təşkil edir).
- HTTP CONNECT metoduna əsaslanan adi tuneldən istifadə edərək cache_peer-də göstərilən digər proksi serverlər vasitəsilə saxtalaşdırılmış (yenidən şifrələnmiş) HTTPS sorğularının yönləndirilməsi dəstəyi SSL-Bump mexanizminə əlavə edilmişdir ki, bu da şifrələnmiş HTTPS sessiyalarının (ötürmə) məzmununun tutulmasını təşkil etməyə imkan verir. HTTPS üzərində dəstəklənmir, çünki Squid hələ TLS daxilində TLS-ni keçə bilmir). SSL-Bump ilk ələ keçirilmiş HTTPS sorğusunu aldıqdan sonra hədəf serverlə TLS əlaqəsi qurmağa və onun sertifikatını əldə etməyə imkan verir. Bundan sonra, Squid serverdən alınan həqiqi sertifikatdan host adından istifadə edir və məlumat almaq üçün hədəf serverlə qurulmuş TLS bağlantısından istifadə etməyə davam edərkən müştəri ilə qarşılıqlı əlaqədə olarkən tələb olunan serveri təqlid etdiyi saxta sertifikat yaradır (beləliklə əvəzetmə müştəri tərəfindəki brauzerlərdə çıxış xəbərdarlıqlarına səbəb olmadığı üçün, siz dummy sertifikatlar yaratmaq üçün istifadə olunan sertifikatınızı kök sertifikat mağazasına əlavə etməlisiniz).
- Netfilter işarələrini (CONNMARK) müştəri TCP bağlantılarına və ya fərdi paketlərə bağlamaq üçün mark_client_connection və mark_client_pack direktivləri əlavə edildi.
İsti təqibdən sonra Squid 5.2 və Squid 4.17-nin buraxılışları dərc olundu, burada aşağıdakı boşluqlar aradan qaldırıldı:
- CVE-2021-28116 - WCCPv2 hazırlanmış mesajları emal edərkən məlumat sızdı. Zəiflik təcavüzkarın məlum WCCP marşrutlaşdırıcılarının siyahısını pozmağa və proksi müştəri trafikini öz hostuna yönləndirməyə imkan verir. Problem yalnız WCCPv2 dəstəyinin aktiv olduğu konfiqurasiyalarda və marşrutlaşdırıcının IP ünvanını saxtalaşdırmaq mümkün olduqda görünür.
- CVE-2021-41611 - TLS sertifikatları doğrulanarkən xəta baş verdi və etibarsız sertifikatlardan istifadə edərək girişə icazə verdi.
Mənbə: opennet.ru