Nakon tri godine razvoja predstavljeno je stabilno izdanje Squid 5.1 proxy servera, spremnog za upotrebu u proizvodnim sistemima (izdanja 5.0.x su imala status beta verzije). Nakon što je grana 5.x postala stabilna, sada će popraviti samo ranjivosti i probleme sa stabilnošću, a dozvoljene su i manje optimizacije. Razvoj novih funkcija će se vršiti u novoj eksperimentalnoj grani 6.0. Korisnicima prethodne 4.x stabilne grane se savjetuje da planiraju migriranje na granu 5.x.
Glavne inovacije Squid 5:
- Implementacija ICAP protokola (Internet Content Adaptation Protocol), koji se koristi za integraciju sa eksternim sistemima za inspekciju sadržaja, dodala je podršku za mehanizam pričvršćivanja podataka (trailer), koji vam omogućava da priložite dodatna zaglavlja sa metapodacima koji se nalaze iza tijela poruke. odgovor (na primjer, možete poslati kontrolni zbroj i detalje identificiranih problema).
- Prilikom preusmjeravanja zahtjeva koristi se algoritam "Happy Eyeballs" koji odmah koristi primljenu IP adresu, bez čekanja na razrješenje svih potencijalno dostupnih IPv4 i IPv6 ciljnih adresa. Umjesto razmatranja postavke "dns_v4_first" za određivanje redoslijeda u kojem se koristi porodica IPv4 ili IPv6 adresa, sada se poštuje redoslijed odgovora DNS-a: ako DNS AAAA odgovor stigne prvi dok čeka da se IP adresa riješi, onda će rezultirati Koristit će se IPv6 adresa. Stoga se postavljanje željene porodice adresa sada vrši na nivou zaštitnog zida, DNS-a ili pokretanja sa opcijom "--disable-ipv6". Predložena promjena ubrzava vrijeme postavljanja TCP veze i smanjuje učinak kašnjenja DNS rezolucije na performanse.
- Za upotrebu u "external_acl" direktivi, rukovatelj "ext_kerberos_sid_group_acl" je dodat za autentifikaciju sa grupnom verifikacijom u Active Directory koristeći Kerberos. Uslužni program ldapsearch koji pruža OpenLDAP paket koristi se za upit imena grupe.
- Podrška za Berkeley DB format je zastarjela zbog problema s licenciranjem. Berkeley DB 5.x grana nije održavana nekoliko godina i ostaje sa nezakrpljenim ranjivostima, a prelazak na novija izdanja ne dozvoljava promjenu licence na AGPLv3, čiji zahtjevi se odnose i na aplikacije koje koriste BerkeleyDB u obliku biblioteke - Squid je licenciran pod GPLv2, a AGPL je nekompatibilan sa GPLv2. Umjesto Berkeley DB-a, projekat je prebačen na korištenje TrivialDB DBMS-a, koji je, za razliku od Berkeley DB-a, optimiziran za istovremeni paralelni pristup bazi podataka. Berkeley DB podrška je za sada zadržana, ali rukovaocima "ext_session_acl" i "ext_time_quota_acl" sada se preporučuje da koriste "libtdb" tip skladištenja umjesto "libdb".
- Dodata podrška za HTTP zaglavlje CDN-Loop, definirano u RFC 8586, koje vam omogućava da otkrijete petlje kada koristite mreže za isporuku sadržaja (zaglavlje pruža zaštitu od situacija kada se zahtjev u procesu preusmjeravanja između CDN-ova iz nekog razloga vraća nazad na originalni CDN, formirajući beskonačnu petlju).
- Podrška za preusmjeravanje lažnih (ponovno šifriranih) HTTPS zahtjeva preko drugih proxy servera navedenih u cache_peer pomoću redovnog tunela zasnovanog na metodi HTTP CONNECT dodata je mehanizmu SSL-Bump, koji omogućava organiziranje presretanja sadržaja šifriranih HTTPS sesija (prijenos preko HTTPS-a nije podržan jer Squid još ne može proći TLS unutar TLS-a). SSL-Bump omogućava, po prijemu prvog presretnutog HTTPS zahtjeva, da uspostavi TLS vezu sa ciljnim serverom i dobije njegov certifikat. Nakon toga, Squid koristi ime hosta iz stvarnog certifikata primljenog od servera i kreira lažni certifikat s kojim imitira traženi server u interakciji s klijentom, dok nastavlja koristiti TLS vezu uspostavljenu sa ciljnim serverom za primanje podataka (tako da da zamjena ne dovede do izlaznih upozorenja u pretraživačima na strani klijenta, morate dodati svoj certifikat koji se koristi za generiranje lažnih certifikata u root spremište certifikata).
- Dodane direktive mark_client_connection i mark_client_pack za povezivanje oznaka Netfilter (CONNMARK) za klijentske TCP veze ili pojedinačne pakete.
Nakon hitne potjere, objavljena su izdanja Squid 5.2 i Squid 4.17 u kojima su ispravljene sljedeće ranjivosti:
- CVE-2021-28116 - Informacije su procurile tokom obrade WCCPv2 poruka kreiranih. Ranjivost omogućava napadaču da pokvari listu poznatih WCCP rutera i preusmjeri promet proxy klijenta na njihov host. Problem se pojavljuje samo u konfiguracijama sa omogućenom podrškom za WCCPv2 i kada je moguće lažirati IP adresu rutera.
- CVE-2021-41611 - Došlo je do greške prilikom provjere valjanosti TLS certifikata, dozvoljavajući pristup korištenjem nepouzdanih certifikata.
izvor: opennet.ru