Стабилна версия на прокси сървър Squid 5

След три години разработка е представена стабилна версия на прокси сървъра Squid 5.1, готова за използване в производствени системи (версии 5.0.x имаха статус на бета версии). След като направи клона 5.x стабилен, той вече ще поправя само уязвимости и проблеми със стабилността, като са разрешени и незначителни оптимизации. Разработването на нови функции ще се извърши в нов експериментален клон 6.0. Потребителите на предишния стабилен клон 4.x се съветват да планират миграция към 5.x клон.

Основни иновации на Squid 5:

• Внедряването на протокола ICAP (Internet Content Adaptation Protocol), използван за интеграция с външни системи за проверка на съдържанието, има добавена поддръжка за механизма за прикачване на данни (трейлър), който ви позволява да прикачите допълнителни заглавки с метаданни, поставени след тялото на съобщението към отговор (например, можете да изпратите контролна сума и подробности за идентифицираните проблеми).
• При пренасочване на заявки се използва алгоритъмът "Happy Eyeballs", който незабавно използва получения IP адрес, без да чака разрешаването на всички потенциално налични IPv4 и IPv6 целеви адреси. Вместо да се взема под внимание настройката "dns_v4_first", за да се определи редът, в който се използва фамилия IPv4 или IPv6 адреси, редът на отговор на DNS вече се зачита: ако отговорът на DNS AAAA пристигне първи, докато чака IP адресът да бъде разрешен, тогава полученият Ще се използва IPv6 адрес. По този начин настройката на предпочитаното семейство адреси вече се извършва на ниво защитна стена, DNS или стартиране с опцията "--disable-ipv6". Предложената промяна ускорява времето за настройка на TCP връзката и намалява влиянието върху производителността на латентността на разрешаване на DNS.
• За използване в директивата "external_acl" манипулаторът "ext_kerberos_sid_group_acl" е добавен за удостоверяване с групова проверка в Active Directory с помощта на Kerberos. Помощната програма ldapsearch, предоставена от пакета OpenLDAP, се използва за запитване на името на групата.
• Поддръжката за формата Berkeley DB е остаряла поради проблеми с лицензирането. Клонът на Berkeley DB 5.x не се поддържа от няколко години и остава с непоправени уязвимости, а преминаването към по-нови версии не позволява промяна на лиценза към AGPLv3, чиито изисквания важат и за приложения, използващи BerkeleyDB под формата на библиотека - Squid е лицензиран под GPLv2, а AGPL е несъвместим с GPLv2. Вместо Berkeley DB, проектът премина към използване на TrivialDB DBMS, която за разлика от Berkeley DB е оптимизирана за едновременен паралелен достъп до базата данни. Поддръжката на Berkeley DB засега е запазена, но манипулаторите "ext_session_acl" и "ext_time_quota_acl" вече се препоръчват да използват типа съхранение "libtdb" вместо "libdb".
• Добавена е поддръжка за HTTP заглавката CDN-Loop, дефинирана в RFC 8586, която ви позволява да откривате цикли, когато използвате мрежи за доставка на съдържание (заглавката осигурява защита срещу ситуации, когато заявка в процеса на пренасочване между CDN по някаква причина се връща обратно към оригинален CDN, образувайки безкраен цикъл).
• Към механизма SSL-Bump е добавена поддръжка за пренасочване на фалшиви (прекриптирани) HTTPS заявки през други прокси сървъри, посочени в cache_peer, използвайки обикновен тунел, базиран на метода HTTP CONNECT, който позволява организиране на прихващането на съдържанието на криптирани HTTPS сесии (предаване през HTTPS не се поддържа, тъй като Squid все още не може да премине TLS в TLS). SSL-Bump позволява, при получаване на първата прихваната HTTPS заявка, да се установи TLS връзка с целевия сървър и да се получи неговия сертификат. След това Squid използва името на хоста от истинския сертификат, получен от сървъра, и създава фиктивен сертификат, с който имитира заявения сървър, когато взаимодейства с клиента, като същевременно продължава да използва TLS връзката, установена с целевия сървър, за да получава данни (така че че заместването не води до изходни предупреждения в браузърите от страна на клиента, трябва да добавите вашия сертификат, използван за генериране на фиктивни сертификати, към хранилището на основни сертификати).
• Добавени са директиви mark_client_connection и mark_client_pack за свързване на маркировките на Netfilter (CONNMARK) към клиентски TCP връзки или отделни пакети.

След преследване бяха публикувани изданията на Squid 5.2 и Squid 4.17, в които бяха коригирани следните уязвимости:

• CVE-2021-28116 – Изтекла информация по време на обработка на създадени от WCCPv2 съобщения. Уязвимостта позволява на атакуващ да повреди списъка с известни WCCP рутери и да пренасочи трафика на прокси клиент към техния хост. Проблемът се появява само в конфигурации с активирана поддръжка на WCCPv2 и когато е възможно да се подмени IP адреса на рутера.
• CVE-2021-41611 - Възникна грешка при валидиране на TLS сертификати, позволяващи достъп чрез ненадеждни сертификати.

Източник: opennet.ru