Ar ôl tair blynedd o ddatblygiad, cyflwynir datganiad sefydlog o weinydd dirprwy Squid 5.1, yn barod i'w ddefnyddio mewn systemau cynhyrchu (roedd gan ryddhad 5.0.x statws fersiynau beta). Ar ôl gwneud y gangen 5.x yn sefydlog, nawr bydd yn trwsio gwendidau a materion sefydlogrwydd yn unig, a chaniateir mân optimeiddio hefyd. Bydd datblygiad nodweddion newydd yn cael ei wneud mewn cangen arbrofol newydd 6.0. Cynghorir defnyddwyr cangen sefydlog 4.x y gorffennol i gynllunio i fudo i'r gangen 5.x.
Prif ddatblygiadau arloesol Squid 5:
- Mae gweithredu'r protocol ICAP (Protocol Addasu Cynnwys Rhyngrwyd), a ddefnyddir ar gyfer integreiddio â systemau archwilio cynnwys allanol, wedi ychwanegu cefnogaeth i'r mecanwaith atodi data (trelar), sy'n eich galluogi i atodi penawdau ychwanegol gyda metadata a osodir ar ôl y corff neges i'r ymateb (er enghraifft, gallwch anfon siec a manylion y materion a nodwyd).
- Wrth ailgyfeirio ceisiadau, defnyddir yr algorithm "Happy Eyeballs", sy'n defnyddio'r cyfeiriad IP a dderbyniwyd ar unwaith, heb aros am benderfyniad yr holl gyfeiriadau targed IPv4 a IPv6 a allai fod ar gael. Yn hytrach nag ystyried y gosodiad "dns_v4_first" i benderfynu ar y drefn y defnyddir teulu cyfeiriad IPv4 neu IPv6, mae gorchymyn ymateb DNS bellach yn cael ei barchu: os bydd ymateb DNS AAAA yn cyrraedd yn gyntaf wrth aros i gyfeiriad IP gael ei ddatrys, yna'r canlyniad Bydd cyfeiriad IPv6 yn cael ei ddefnyddio. Felly, mae gosod y teulu cyfeiriad a ffefrir bellach yn cael ei wneud ar y wal dân, DNS, neu lefel cychwyn gyda'r opsiwn "--disable-ipv6". Mae'r newid arfaethedig yn cyflymu amser sefydlu cysylltiad TCP ac yn lleihau effaith perfformiad hwyrni datrys DNS.
- I'w ddefnyddio yn y gyfarwyddeb "external_acl", mae'r triniwr "ext_kerberos_sid_group_acl" wedi'i ychwanegu i'w ddilysu gyda dilysu grŵp yn Active Directory gan ddefnyddio Kerberos. Defnyddir y cyfleustodau ldapsearch a ddarperir gan y pecyn OpenLDAP i gwestiynu enw'r grŵp.
- Mae cefnogaeth i fformat Berkeley DB wedi'i ddiystyru oherwydd materion trwyddedu. Mae cangen Berkeley DB 5.x wedi bod heb ei chynnal ers sawl blwyddyn ac mae'n parhau i fod yn agored i niwed heb ei newid, ac nid yw newid i ddatganiadau mwy newydd yn caniatáu newid y drwydded i AGPLv3, y mae ei gofynion hefyd yn berthnasol i geisiadau sy'n defnyddio BerkeleyDB ar ffurf llyfrgell - Mae Squid wedi'i drwyddedu o dan y GPLv2, ac mae AGPL yn anghydnaws â GPLv2. Yn lle Berkeley DB, newidiwyd y prosiect i ddefnyddio'r TrivialDB DBMS, sydd, yn wahanol i Berkeley DB, wedi'i optimeiddio ar gyfer mynediad cyfochrog ar yr un pryd i'r gronfa ddata. Mae cefnogaeth Berkeley DB wedi'i gadw am y tro, ond mae'r trinwyr "ext_session_acl" ac "ext_time_quota_acl" bellach yn cael eu hargymell i ddefnyddio'r math storio "libtdb" yn lle "libdb".
- Cefnogaeth ychwanegol i bennawd HTTP CDN-Loop, a ddiffinnir yn RFC 8586, sy'n eich galluogi i ganfod dolenni wrth ddefnyddio rhwydweithiau darparu cynnwys (mae'r pennawd yn darparu amddiffyniad rhag sefyllfaoedd pan fydd cais yn y broses o ailgyfeirio rhwng CDNs am ryw reswm yn dychwelyd yn ôl i'r CDN gwreiddiol, yn ffurfio dolen ddiddiwedd ).
- Mae cefnogaeth ar gyfer ailgyfeirio ceisiadau HTTPS ffug (wedi'u hailgryptio) trwy weinyddion dirprwyol eraill a nodir yn cache_peer gan ddefnyddio twnnel rheolaidd yn seiliedig ar y dull HTTP CONNECT wedi'i ychwanegu at y mecanwaith SSL-Bump, sy'n caniatáu trefnu rhyng-gipio cynnwys sesiynau HTTPS wedi'u hamgryptio (trosglwyddo ni chefnogir dros HTTPS gan na all Squid basio TLS o fewn TLS eto). Mae SSL-Bump yn caniatáu, ar ôl derbyn y cais HTTPS rhyng-gipio cyntaf, i sefydlu cysylltiad TLS â'r gweinydd targed a chael ei dystysgrif. Ar ôl hynny, mae Squid yn defnyddio'r enw gwesteiwr o'r dystysgrif go iawn a dderbyniwyd gan y gweinydd ac yn creu tystysgrif ffug y mae'n dynwared y gweinydd y gofynnwyd amdano wrth ryngweithio â'r cleient, wrth barhau i ddefnyddio'r cysylltiad TLS a sefydlwyd gyda'r gweinydd targed i dderbyn data (felly nad yw'r amnewid yn arwain at y rhybuddion allbwn mewn porwyr ar ochr y cleient, mae angen i chi ychwanegu eich tystysgrif a ddefnyddir i gynhyrchu tystysgrifau ffug i'r storfa tystysgrif gwraidd).
- Ychwanegwyd cyfarwyddiadau mark_client_connection a mark_client_pack i rwymo marciau Netfilter (CONNMARK) i gysylltiadau TCP cleient neu becynnau unigol.
Yn dilyn ar drywydd poeth, cyhoeddwyd datganiadau Squid 5.2 a Squid 4.17 lle roedd y gwendidau canlynol yn sefydlog:
- CVE-2021-28116 - Gwybodaeth yn gollwng wrth brosesu negeseuon crefftus WCCPv2. Mae'r bregusrwydd yn caniatáu i ymosodwr lygru'r rhestr o lwybryddion WCCCP hysbys ac ailgyfeirio traffig cleient dirprwy i'w gwesteiwr. Mae'r broblem yn ymddangos mewn ffurfweddiadau yn unig gyda chefnogaeth WCCPv2 wedi'i alluogi a phan mae'n bosibl ffugio cyfeiriad IP y llwybrydd.
- CVE-2021-41611 - Digwyddodd gwall wrth ddilysu tystysgrifau TLS, sy'n caniatáu mynediad gan ddefnyddio tystysgrifau nad ydynt yn ymddiried ynddynt.
Ffynhonnell: opennet.ru