🥇 স্কুইড 5 প্রক্সি সার্ভারের স্থিতিশীল প্রকাশ

তিন বছরের বিকাশের পর, স্কুইড 5.1 প্রক্সি সার্ভারের একটি স্থিতিশীল রিলিজ উপস্থাপন করা হয়েছে, যা উত্পাদন সিস্টেমে ব্যবহারের জন্য প্রস্তুত (রিলিজ 5.0.x বিটা সংস্করণের অবস্থা ছিল)। 5.x শাখাটিকে স্থিতিশীল মর্যাদা দেওয়ার পরে, এখন থেকে শুধুমাত্র দুর্বলতা এবং স্থিতিশীলতার সমস্যার সমাধান করা হবে এবং ছোটখাটো অপ্টিমাইজেশনেরও অনুমতি দেওয়া হয়েছে। নতুন বৈশিষ্ট্যের বিকাশ নতুন পরীক্ষামূলক শাখা 6.0-এ করা হবে। পূর্ববর্তী স্থিতিশীল 4.x শাখার ব্যবহারকারীদের 5.x শাখায় স্থানান্তরিত করার পরিকল্পনা করার পরামর্শ দেওয়া হচ্ছে।

স্কুইড 5 এর মূল উদ্ভাবন:

ICAP (ইন্টারনেট বিষয়বস্তু অভিযোজন প্রোটোকল), যা বাহ্যিক বিষয়বস্তু যাচাইকরণ সিস্টেমগুলির সাথে একীকরণের জন্য ব্যবহৃত হয়, এর বাস্তবায়ন একটি ডেটা সংযুক্তি প্রক্রিয়া (ট্রেলার) এর জন্য সমর্থন যোগ করেছে, যা আপনাকে বার্তার পরে রাখা প্রতিক্রিয়াতে মেটাডেটা সহ অতিরিক্ত শিরোনাম সংযুক্ত করতে দেয়। বডি (উদাহরণস্বরূপ, আপনি একটি চেকসাম এবং চিহ্নিত সমস্যাগুলির বিশদ বিবরণ পাঠাতে পারেন)।
অনুরোধগুলি পুনঃনির্দেশ করার সময়, "হ্যাপি আইবলস" অ্যালগরিদম ব্যবহার করা হয়, যা সমস্ত সম্ভাব্য উপলব্ধ IPv4 এবং IPv6 লক্ষ্য ঠিকানাগুলির সমাধানের জন্য অপেক্ষা না করে অবিলম্বে প্রাপ্ত IP ঠিকানা ব্যবহার করে৷ একটি IPv4 বা IPv4 ঠিকানা পরিবার ব্যবহার করা হয়েছে কিনা তা নির্ধারণ করতে "dns_v6_first" সেটিং ব্যবহার করার পরিবর্তে, DNS প্রতিক্রিয়ার ক্রমটি এখন বিবেচনায় নেওয়া হয়: যদি একটি IP ঠিকানা সমাধানের জন্য অপেক্ষা করার সময় DNS AAAA প্রতিক্রিয়া প্রথমে আসে, তাহলে ফলে IPv6 ঠিকানা ব্যবহার করা হবে। এইভাবে, পছন্দের ঠিকানা পরিবার সেট করা এখন ফায়ারওয়াল, DNS বা স্টার্টআপ স্তরে “--disable-ipv6” বিকল্পের সাথে সম্পন্ন হয়। প্রস্তাবিত পরিবর্তন আমাদের টিসিপি সংযোগের সেটআপের সময়কে গতি বাড়ানোর এবং ডিএনএস রেজোলিউশনের সময় বিলম্বের কার্যকারিতা প্রভাব কমাতে দেয়।
"external_acl" নির্দেশে ব্যবহারের জন্য, "ext_kerberos_sid_group_acl" হ্যান্ডলারটি Kerberos ব্যবহার করে সক্রিয় ডিরেক্টরিতে গ্রুপ চেকিং সহ প্রমাণীকরণের জন্য যোগ করা হয়েছে। গ্রুপের নাম জিজ্ঞাসা করতে, OpenLDAP প্যাকেজ দ্বারা প্রদত্ত ldapsearch ইউটিলিটি ব্যবহার করুন।
লাইসেন্স সংক্রান্ত সমস্যার কারণে বার্কলে ডিবি ফরম্যাটের জন্য সমর্থন বাতিল করা হয়েছে। বার্কলে ডিবি 5.এক্স শাখাটি বেশ কয়েক বছর ধরে রক্ষণাবেক্ষণ করা হয়নি এবং অস্বাভাবিক দুর্বলতার সাথে রয়ে গেছে, এবং নতুন রিলিজে রূপান্তর AGPLv3-তে লাইসেন্স পরিবর্তনের মাধ্যমে প্রতিরোধ করা হয়েছে, যার প্রয়োজনীয়তাগুলি বার্কলেডিবি ব্যবহার করে এমন অ্যাপ্লিকেশনগুলিতেও প্রযোজ্য একটি লাইব্রেরি - স্কুইড GPLv2 লাইসেন্সের অধীনে সরবরাহ করা হয় এবং AGPL GPLv2 এর সাথে সামঞ্জস্যপূর্ণ নয়। বার্কলে ডিবি-র পরিবর্তে, প্রকল্পটি ট্রিভিয়ালডিবি ডিবিএমএস-এর ব্যবহারে স্থানান্তরিত করা হয়েছিল, যা বার্কলে ডিবি-এর বিপরীতে, ডাটাবেসে একযোগে সমান্তরাল অ্যাক্সেসের জন্য অপ্টিমাইজ করা হয়েছে। বার্কলে ডিবি সমর্থন আপাতত ধরে রাখা হয়েছে, কিন্তু "ext_session_acl" এবং "ext_time_quota_acl" হ্যান্ডলাররা এখন "libdb" এর পরিবর্তে "libtdb" স্টোরেজ টাইপ ব্যবহার করার পরামর্শ দিচ্ছে।
RFC 8586-এ সংজ্ঞায়িত CDN-Loop HTTP হেডারের জন্য সমর্থন যোগ করা হয়েছে, যা আপনাকে বিষয়বস্তু বিতরণ নেটওয়ার্ক ব্যবহার করার সময় লুপ সনাক্ত করতে দেয় (শিরোনামটি এমন পরিস্থিতির বিরুদ্ধে সুরক্ষা প্রদান করে যখন কোনো কারণে CDN-এর মধ্যে পুনঃনির্দেশ করার প্রক্রিয়ায় একটি অনুরোধ ফিরে আসে। মূল CDN, একটি অন্তহীন লুপ গঠন করে)।
SSL-Bump মেকানিজম, যা আপনাকে এনক্রিপ্ট করা HTTPS সেশনের বিষয়বস্তুকে আটকাতে দেয়, HTTP CONNECT পদ্ধতির উপর ভিত্তি করে একটি নিয়মিত টানেল ব্যবহার করে cache_peer-এ নির্দিষ্ট অন্যান্য প্রক্সি সার্ভারের মাধ্যমে স্পুফড (পুনরায়-এনক্রিপ্ট করা) HTTPS অনুরোধগুলি পুনঃনির্দেশিত করার জন্য সমর্থন যোগ করেছে ( HTTPS এর মাধ্যমে ট্রান্সমিশন সমর্থিত নয়, যেহেতু Squid এখনও TLS এর মধ্যে TLS পরিবহন করতে পারে না)। SSL-Bump আপনাকে প্রথম বাধাপ্রাপ্ত HTTPS অনুরোধ প্রাপ্তির পরে লক্ষ্য সার্ভারের সাথে একটি TLS সংযোগ স্থাপন করতে এবং এর শংসাপত্র প্রাপ্ত করার অনুমতি দেয়। এর পরে, স্কুইড সার্ভার থেকে প্রাপ্ত প্রকৃত শংসাপত্র থেকে হোস্টনাম ব্যবহার করে এবং একটি ডামি শংসাপত্র তৈরি করে, যার সাহায্যে এটি ক্লায়েন্টের সাথে ইন্টারঅ্যাক্ট করার সময় অনুরোধ করা সার্ভারের অনুকরণ করে, ডেটা গ্রহণের জন্য লক্ষ্য সার্ভারের সাথে প্রতিষ্ঠিত TLS সংযোগটি ব্যবহার চালিয়ে যাওয়ার সময় ( যাতে প্রতিস্থাপনটি ক্লায়েন্ট সাইডের ব্রাউজারগুলিতে আউটপুট সতর্কতার দিকে পরিচালিত না করে, আপনাকে আপনার শংসাপত্রটি রুট শংসাপত্র স্টোরে কাল্পনিক শংসাপত্র তৈরি করতে ব্যবহৃত শংসাপত্র যুক্ত করতে হবে)।
ক্লায়েন্ট TCP সংযোগ বা পৃথক প্যাকেটে Netfilter চিহ্ন (CONNMARK) আবদ্ধ করতে mark_client_connection এবং mark_client_pack নির্দেশিকা যোগ করা হয়েছে।

তাদের হিলের উপর গরম, স্কুইড 5.2 এবং স্কুইড 4.17 এর রিলিজ প্রকাশিত হয়েছিল, যেখানে দুর্বলতাগুলি সংশোধন করা হয়েছিল:

CVE-2021-28116 - বিশেষভাবে তৈরি WCCPv2 বার্তাগুলি প্রক্রিয়া করার সময় তথ্য ফাঁস। দুর্বলতা একজন আক্রমণকারীকে পরিচিত WCCP রাউটারগুলির তালিকাকে দূষিত করতে এবং প্রক্সি সার্ভার ক্লায়েন্টদের থেকে তাদের হোস্টে ট্র্যাফিক পুনঃনির্দেশ করতে দেয়। সমস্যাটি শুধুমাত্র WCCPv2 সমর্থন সক্রিয় থাকা কনফিগারেশনে দেখা যায় এবং যখন রাউটারের আইপি ঠিকানা ফাঁকি দেওয়া সম্ভব হয়।
CVE-2021-41611 - TLS শংসাপত্র যাচাইকরণে একটি সমস্যা অবিশ্বস্ত শংসাপত্র ব্যবহার করে অ্যাক্সেসের অনুমতি দেয়।

উত্স: opennet.ru

স্কুইড 5 প্রক্সি সার্ভারের স্থিতিশীল প্রকাশ

একটি মন্তব্য জুড়ুন উত্তর বাতিল