ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Lig-on nga pagpagawas sa Squid 5 proxy server

Lig-on nga pagpagawas sa Squid 5 proxy server

Human sa tulo ka tuig nga pag-uswag, ang usa ka lig-on nga pagpagawas sa Squid 5.1 proxy server gipresentar, andam na alang sa paggamit sa mga sistema sa produksyon (pagpagawas sa 5.0.x adunay status sa beta versions). Human ang 5.x nga sanga gihatagan og lig-on nga kahimtang, gikan karon ang mga pag-ayo lamang alang sa mga kahuyangan ug mga problema sa kalig-on ang himoon niini, ug ang ginagmay nga mga pag-optimize usab gitugotan. Ang pag-uswag sa bag-ong mga bahin himuon sa bag-ong sanga sa eksperimento 6.0. Ang mga tiggamit sa miaging kuwadra nga 4.x nga sanga gitambagan nga magplano nga mobalhin sa 5.x nga sanga.

Pangunang mga inobasyon sa Squid 5:

  • Ang pagpatuman sa ICAP (Internet Content Adaptation Protocol), nga gigamit alang sa paghiusa sa mga eksternal nga sistema sa pag-verify sa sulud, nagdugang suporta alang sa usa ka mekanismo sa pagdugtong sa datos (trailer), nga nagtugot kanimo sa paglakip sa dugang nga mga ulohan nga adunay metadata sa tubag, gibutang pagkahuman sa mensahe lawas (pananglitan, mahimo ka magpadala usa ka checksum ug mga detalye bahin sa mga problema nga nahibal-an).
  • Kung gi-redirect ang mga hangyo, gigamit ang algorithm nga "Happy Eyeballs", nga gigamit dayon ang nadawat nga IP address, nga wala maghulat nga masulbad ang tanan nga posible nga magamit nga mga adres sa target nga IPv4 ug IPv6. Imbis nga gamiton ang setting nga "dns_v4_first" aron mahibal-an kung gigamit ba ang IPv4 o IPv6 address nga pamilya, ang han-ay sa tubag sa DNS gikonsiderar karon: kung ang tubag sa DNS AAAA moabut una kung naghulat nga masulbad ang IP address, dayon ang ang resulta nga IPv6 nga adres gamiton. Sa ingon, ang pagtakda sa gusto nga pamilya sa adres nahimo na karon sa firewall, DNS o lebel sa pagsugod nga adunay kapilian nga "--disable-ipv6". Ang gisugyot nga pagbag-o nagtugot kanamo nga mapadali ang oras sa pag-setup sa mga koneksyon sa TCP ug makunhuran ang epekto sa pasundayag sa mga paglangan sa panahon sa resolusyon sa DNS.
  • Para sa paggamit sa "external_acl" nga direktiba, ang "ext_kerberos_sid_group_acl" nga handler gidugang para sa authentication sa grupo nga pagsusi sa Active Directory gamit ang Kerberos. Aron mangutana sa ngalan sa grupo, gamita ang ldapsearch utility nga gihatag sa OpenLDAP package.
  • Ang suporta alang sa Berkeley DB nga pormat wala na magamit tungod sa mga isyu sa paglilisensya. Ang sanga sa Berkeley DB 5.x wala mamentinar sulod sa pipila ka tuig ug nagpabilin nga adunay mga kahuyangan nga wala ma-patch, ug ang pagbalhin ngadto sa mas bag-ong mga pagpagawas gipugngan sa usa ka pagbag-o sa lisensya ngadto sa AGPLv3, ang mga kinahanglanon niini magamit usab sa mga aplikasyon nga naggamit sa BerkeleyDB sa porma sa usa ka librarya - Ang nukos gihatag ubos sa lisensya sa GPLv2, ug ang AGPL dili compatible sa GPLv2. Imbes sa Berkeley DB, ang proyekto gibalhin ngadto sa paggamit sa TrivialDB DBMS, nga, dili sama sa Berkeley DB, gi-optimize alang sa dungan nga parallel access sa database. Ang suporta sa Berkeley DB gipabilin sa pagkakaron, apan ang "ext_session_acl" ug "ext_time_quota_acl" nga mga tigdumala karon nagrekomendar sa paggamit sa "libtdb" nga tipo sa pagtipig imbes nga "libdb".
  • Gidugang nga suporta alang sa CDN-Loop HTTP header, nga gihubit sa RFC 8586, nga nagtugot kanimo nga makit-an ang mga loop kung mogamit mga network sa paghatud sa sulud (ang header naghatag proteksyon batok sa mga sitwasyon kung ang usa ka hangyo sa proseso sa pag-redirect sa taliwala sa mga CDN sa usa ka hinungdan mobalik sa orihinal nga CDN, nga nahimong usa ka walay katapusan nga loop).
  • Ang mekanismo sa SSL-Bump, nga nagtugot kanimo sa pag-intercept sa mga sulod sa na-encrypt nga mga sesyon sa HTTPS, nagdugang og suporta alang sa pag-redirect sa mga gipangayo (re-encrypted) nga HTTPS nga mga hangyo pinaagi sa ubang mga proxy server nga gipiho sa cache_peer, gamit ang regular nga tunnel base sa HTTP CONNECT nga pamaagi ( Ang transmission pinaagi sa HTTPS dili suportado, tungod kay ang Squid dili pa makadala sa TLS sulod sa TLS). Gitugotan ka sa SSL-Bump nga magtukod usa ka koneksyon sa TLS sa target nga server sa pagkadawat sa una nga gipugngan nga hangyo sa HTTPS ug makuha ang sertipiko niini. Pagkahuman niini, gigamit ni Squid ang hostname gikan sa tinuud nga sertipiko nga nadawat gikan sa server ug nagmugna usa ka dummy nga sertipiko, diin gisundog niini ang gihangyo nga server kung nakig-uban sa kliyente, samtang nagpadayon sa paggamit sa koneksyon sa TLS nga gitukod sa target nga server aron makadawat data ( aron ang pag-ilis dili mosangpot sa mga pasidaan sa output sa mga browser sa kilid sa kliyente, kinahanglan nimo nga idugang ang imong sertipiko nga gigamit sa pagmugna og tinumotumo nga mga sertipiko sa root certificate store).
  • Gidugang ang mark_client_connection ug mark_client_pack nga mga direktiba aron mabugkos ang mga marka sa Netfilter (CONNMARK) sa mga koneksyon sa TCP sa kliyente o indibidwal nga mga pakete.

Mainit sa ilang mga tikod, ang pagpagawas sa Squid 5.2 ug Squid 4.17 gipatik, diin ang mga kahuyangan giayo:

  • CVE-2021-28116 - Pag-leakage sa impormasyon kung giproseso ang mga mensahe sa WCCPv2 nga espesyal nga gihimo. Ang pagkahuyang nagtugot sa usa ka tig-atake sa pagdaot sa lista sa nailhan nga WCCP routers ug pag-redirect sa trapiko gikan sa mga kliyente sa proxy server ngadto sa ilang host. Ang problema makita lamang sa mga pag-configure nga adunay suporta sa WCCPv2 ug kung posible nga madaya ang IP address sa router.
  • CVE-2021-41611 - Usa ka isyu sa pag-verify sa sertipiko sa TLS nagtugot sa pag-access gamit ang dili kasaligan nga mga sertipiko.

Source: opennet.ru

Idugang sa usa ka comment