ProHoster > Blog > nutizie internet > Liberazione stabile di u servitore proxy Squid 5

Liberazione stabile di u servitore proxy Squid 5

Dopu trè anni di sviluppu, una versione stabile di u servitore proxy Squid 5.1 hè presentata, pronta per l'usu in i sistemi di produzzione (i rilasci 5.0.x avianu u statutu di versioni beta). Dopu avè fattu a ramu 5.x stabile, avà solu solu e vulnerabilità è prublemi di stabilità, è ottimisazioni minori sò ancu permessi. U sviluppu di novi funziunalità serà realizatu in una nova branche sperimentale 6.0. L'utilizatori di u passatu 4.x ramu stabile sò cunsigliati di pianificà a migrazione à u ramu 5.x.

Principali innovazioni di Squid 5:

  • L'implementazione di u protokollu ICAP (Protokollu di Adattamentu di u Contenutu Internet), utilizatu per l'integrazione cù sistemi di ispezione di cuntenutu esterni, hà aghjustatu supportu per u mecanismu di attache di dati (trailer), chì permette di aghjunghje intestazioni supplementari cù metadati posti dopu à u corpu di u messagiu à u risposta (per esempiu, pudete mandà un checksum è dettagli di i prublemi identificati).
  • Quandu i richieste di redirezzione, l'algoritmu "Happy Eyeballs" hè utilizatu, chì utilizeghja immediatamente l'indirizzu IP ricevutu, senza aspittà a risoluzione di tutti l'indirizzi di destinazione IPv4 è IPv6 potenzialmente dispunibili. Invece di cunsiderà l'impostazione "dns_v4_first" per determinà l'ordine in quale una famiglia di indirizzi IPv4 o IPv6 hè utilizata, l'ordine di risposta DNS hè avà rispettatu: se una risposta DNS AAAA arriva prima mentre aspittà chì un indirizzu IP sia risoltu, allora u risultatu resultanti. L'indirizzu IPv6 serà utilizatu. Cusì, stabilisce a famiglia di l'indirizzu preferita hè avà fatta à u firewall, DNS, o livellu di startup cù l'opzione "--disable-ipv6". U cambiamentu prupostu accelera u tempu di cunfigurazione di a cunnessione TCP è riduce l'impattu di rendiment di a latenza di risoluzione DNS.
  • Per l'usu in a direttiva "external_acl", u gestore "ext_kerberos_sid_group_acl" hè statu aghjuntu per l'autentificazione cù a verificazione di gruppu in Active Directory cù Kerberos. L'utilità ldapsearch furnita da u pacchettu OpenLDAP hè utilizatu per dumandà u nome di u gruppu.
  • U supportu per u formatu Berkeley DB hè statu obsoletu per via di prublemi di licenza. U ramu Berkeley DB 5.x ùn hè micca mantenutu per parechji anni è ferma cù vulnerabilità senza parche, è u cambiamentu à e versioni più recenti ùn permette micca di cambià a licenza à AGPLv3, chì i requisiti sò ancu applicati à l'applicazioni chì utilizanu BerkeleyDB in forma di biblioteca - Squid hè licenziatu sottu a GPLv2, è AGPL hè incompatibile cù GPLv2. Invece di Berkeley DB, u prugettu hè cambiatu per utilizà a DBMS TrivialDB, chì, à u cuntrariu di Berkeley DB, hè ottimizzata per l'accessu parallelu simultaneo à a basa di dati. U supportu di Berkeley DB hè statu mantinutu per avà, ma i gestori "ext_session_acl" è "ext_time_quota_acl" sò avà cunsigliatu per utilizà u tipu d'almacenamiento "libtdb" invece di "libdb".
  • Aghjunghje supportu per l'intestazione HTTP CDN-Loop, definita in RFC 8586, chì permette di detectà i loops quandu si usanu rete di spedizione di cuntenutu (l'intestazione furnisce a prutezzione contru situazioni quandu una dumanda in u prucessu di redirezzione trà CDN per una certa ragione torna à u CDN originale, chì formanu un ciclu infinitu).
  • U supportu per a redirezzione di richieste HTTPS falsificate (recifrate) attraversu altri servitori proxy specificati in cache_peer utilizendu un tunnel regulare basatu nantu à u metudu HTTP CONNECT hè statu aghjuntu à u mecanismu SSL-Bump, chì permette di urganizà l'intercepzione di u cuntenutu di e sessioni HTTPS criptate (trasmissione). sopra HTTPS ùn hè micca supportatu postu chì Squid ùn pò ancu passà TLS in TLS). SSL-Bump permette, dopu avè ricevutu a prima dumanda HTTPS interceptata, per stabilisce una cunnessione TLS cù u servitore di destinazione è ottene u so certificatu. Dopu questu, Squid usa u nome di l'ospitu da u certificatu veru ricevutu da u servitore è crea un certificatu dummy cù quale imita u servitore dumandatu quandu interagisce cù u cliente, mentre cuntinueghja à aduprà a cunnessione TLS stabilita cù u servitore di destinazione per riceve dati (cusì chì a sustituzione ùn porta micca à l'avvertimenti di output in i navigatori da u latu di u cliente, avete bisognu di aghjunghje u vostru certificatu utilizatu per generà certificati fittizi à u magazinu di certificati root).
  • Aghjunghjenu direttive mark_client_connection è mark_client_pack per ligà i marchi Netfilter (CONNMARK) à e cunnessione TCP di u cliente o pacchetti individuali.

Dopu à una ricerca calda, i versioni di Squid 5.2 è Squid 4.17 sò stati publicati in quale e seguenti vulnerabilità sò state fissate:

  • CVE-2021-28116 - L'infurmazione hè filtrata durante u processu di i missaghji WCCPv2. A vulnerabilità permette à un attaccante di corrompere a lista di routers WCCP cunnisciuti è redirige u trafficu di u cliente proxy à u so host. U prublema si prisenta solu in cunfigurazioni cù u supportu WCCPv2 attivatu è quandu hè pussibule spoof l'indirizzu IP di u router.
  • CVE-2021-41611 - Un errore hè accadutu durante a validazione di i certificati TLS, chì permette l'accessu cù certificati micca affidabili.

Source: opennet.ru

Add a comment