Po třech letech vývoje je představena stabilní verze proxy serveru Squid 5.1 připravená pro použití v produkčních systémech (vydání 5.0.x měla status betaverzí). Poté, co byla větev 5.x stabilní, bude nyní pouze opravovat zranitelnosti a problémy se stabilitou a jsou povoleny i drobné optimalizace. Vývoj nových funkcí bude probíhat v nové experimentální větvi 6.0. Uživatelům předchozí stabilní větve 4.x se doporučuje naplánovat migraci do větve 5.x.
Hlavní inovace Squid 5:
- Implementace protokolu ICAP (Internet Content Adaptation Protocol), který se používá pro integraci s externími systémy kontroly obsahu, přidala podporu pro mechanismus pro připojení dat (trailer), který umožňuje připojit další hlavičky s metadaty umístěnými za tělem zprávy. odpověď (můžete například odeslat kontrolní součet a podrobnosti o identifikovaných problémech).
- Při přesměrování požadavků se používá algoritmus „Happy Eyeballs“, který okamžitě využívá přijatou IP adresu, aniž by čekal na rozlišení všech potenciálně dostupných cílových adres IPv4 a IPv6. Namísto respektování nastavení „dns_v4_first“ pro určení pořadí, ve kterém se používá rodina adres IPv4 nebo IPv6, se nyní respektuje pořadí odpovědí DNS: pokud odpověď AAAA DNS přijde jako první při čekání na vyřešení adresy IP, pak přijatá Bude použita adresa IPv6. Nastavení preferované skupiny adres se tedy nyní provádí na úrovni firewallu, DNS nebo spouštění pomocí možnosti „--disable-ipv6“. Navrhovaná změna zrychluje dobu nastavení připojení TCP a snižuje dopad latence překladu DNS na výkon.
- Pro použití v direktivě "external_acl" byl přidán obslužný program "ext_kerberos_sid_group_acl" pro autentizaci s ověřením skupiny v Active Directory pomocí Kerberos. K dotazu na název skupiny použijte obslužný program ldapsearch, který je součástí balíčku OpenLDAP.
- Podpora formátu Berkeley DB byla ukončena kvůli problémům s licencí. Větev Berkeley DB 5.x je již několik let neudržovaná a zůstává s neopravenými zranitelnostmi a přechod na novější verze neumožňuje změnu licence na AGPLv3, jejíž požadavky se vztahují i na aplikace využívající BerkeleyDB ve formě knihovny - Squid je licencován pod GPLv2 a AGPL je nekompatibilní s GPLv2. Místo Berkeley DB byl projekt převeden na použití TrivialDB DBMS, který je na rozdíl od Berkeley DB optimalizován pro simultánní paralelní přístup k databázi. Podpora Berkeley DB byla prozatím zachována, ale obslužným rutinám "ext_session_acl" a "ext_time_quota_acl" se nyní doporučuje používat typ úložiště "libtdb" místo "libdb".
- Přidána podpora pro hlavičku HTTP CDN-Loop definovanou v RFC 8586, která umožňuje detekovat smyčky při používání sítí pro doručování obsahu (hlavička poskytuje ochranu proti situacím, kdy se požadavek v procesu přesměrování mezi sítěmi CDN z nějakého důvodu vrátí zpět do původní CDN, tvořící nekonečnou smyčku).
- Do mechanismu SSL-Bump byla přidána podpora pro přesměrování falešných (rešifrovaných) požadavků HTTPS přes jiné proxy servery uvedené v cache_peer pomocí běžného tunelu založeného na metodě HTTP CONNECT, který umožňuje organizovat zachycení obsahu šifrovaných HTTPS relací (přenos přes HTTPS není podporováno, protože Squid zatím nemůže předat TLS v TLS). SSL-Bump umožňuje po obdržení prvního zachyceného HTTPS požadavku navázat TLS spojení s cílovým serverem a získat jeho certifikát. Poté Squid použije název hostitele ze skutečného certifikátu přijatého ze serveru a vytvoří fiktivní certifikát, pomocí kterého napodobuje požadovaný server při interakci s klientem, přičemž nadále používá připojení TLS navázané s cílovým serverem pro příjem dat (takže že nahrazení nevede k výstupním varováním v prohlížečích na straně klienta, musíte přidat svůj certifikát používaný ke generování fiktivních certifikátů do kořenového úložiště certifikátů).
- Přidány direktivy mark_client_connection a mark_client_pack pro navázání značek Netfilter (CONNMARK) na klientská připojení TCP nebo jednotlivé pakety.
Po intenzivním pronásledování byla zveřejněna vydání Squid 5.2 a Squid 4.17, ve kterých byly opraveny následující chyby zabezpečení:
- CVE-2021-28116 – Informace unikla při zpracování zpráv vytvořených WCCPv2. Tato chyba zabezpečení umožňuje útočníkovi poškodit seznam známých směrovačů WCCP a přesměrovat provoz proxy klientů na jejich hostitele. Problém se objevuje pouze v konfiguracích s povolenou podporou WCCPv2 a když je možné podvrhnout IP adresu routeru.
- CVE-2021-41611 - Chyba ověření certifikátu TLS umožňující přístup pomocí certifikátů, které nejsou důvěryhodné.
Zdroj: opennet.ru