Efter tre års udvikling præsenteres en stabil udgivelse af Squid 5.1 proxyserveren, klar til brug i produktionssystemer (udgivelser 5.0.x havde status som betaversioner). Efter at have gjort 5.x-grenen stabil, vil den nu kun løse sårbarheder og stabilitetsproblemer, og mindre optimeringer er også tilladt. Udvikling af nye funktioner vil blive udført i en ny forsøgsgren 6.0. Brugere af den tidligere stabile 4.x-gren rådes til at planlægge at migrere til 5.x-grenen.
Vigtigste innovationer af Squid 5:
- Implementeringen af ICAP-protokollen (Internet Content Adaptation Protocol), der bruges til integration med eksterne indholdsinspektionssystemer, har tilføjet understøttelse af datavedhæftningsmekanismen (trailer), som giver dig mulighed for at vedhæfte yderligere overskrifter med metadata placeret efter meddelelsesteksten til svar (du kan f.eks. sende en kontrolsum og detaljer om de identificerede problemer).
- Ved omdirigering af anmodninger bruges "Happy Eyeballs"-algoritmen, som straks bruger den modtagne IP-adresse, uden at vente på opløsningen af alle potentielt tilgængelige IPv4- og IPv6-måladresser. I stedet for at overveje "dns_v4_first"-indstillingen for at bestemme rækkefølgen, som en IPv4- eller IPv6-adressefamilie bruges i, respekteres DNS-svarrækkefølgen nu: hvis et DNS AAAA-svar først ankommer, mens man venter på, at en IP-adresse bliver løst, så bliver den resulterende IPv6-adressen vil blive brugt. Således indstilles den foretrukne adressefamilie nu på firewall-, DNS- eller opstartsniveau med "--disable-ipv6" muligheden. Den foreslåede ændring fremskynder opsætningstiden for TCP-forbindelse og reducerer ydeevnepåvirkningen af DNS-opløsningsforsinkelse.
- Til brug i "external_acl"-direktivet er "ext_kerberos_sid_group_acl"-handleren blevet tilføjet til godkendelse med gruppebekræftelse i Active Directory ved hjælp af Kerberos. For at forespørge på gruppenavnet skal du bruge ldapsearch-værktøjet fra OpenLDAP-pakken.
- Understøttelse af Berkeley DB-formatet er blevet udfaset på grund af licensproblemer. Berkeley DB 5.x-grenen har været uvedligeholdt i flere år og forbliver med uoprettede sårbarheder, og skift til nyere udgivelser tillader ikke ændring af licensen til AGPLv3, hvis krav også gælder for applikationer, der bruger BerkeleyDB i form af et bibliotek - Squid er licenseret under GPLv2, og AGPL er inkompatibel med GPLv2. I stedet for Berkeley DB blev projektet skiftet til at bruge TrivialDB DBMS, som i modsætning til Berkeley DB er optimeret til samtidig parallel adgang til databasen. Berkeley DB-understøttelse er blevet bibeholdt indtil videre, men "ext_session_acl"- og "ext_time_quota_acl"-handlerne anbefales nu at bruge "libtdb"-lagertypen i stedet for "libdb".
- Tilføjet understøttelse af CDN-Loop HTTP-headeren, defineret i RFC 8586, som giver dig mulighed for at detektere loops, når du bruger indholdsleveringsnetværk (headeren giver beskyttelse mod situationer, hvor en anmodning i processen med omdirigering mellem CDN'er af en eller anden grund vender tilbage til original CDN, der danner en uendelig løkke).
- Understøttelse af omdirigering af forfalskede (genkrypterede) HTTPS-anmodninger gennem andre proxyservere specificeret i cache_peer ved hjælp af en almindelig tunnel baseret på HTTP CONNECT-metoden er blevet tilføjet til SSL-Bump-mekanismen, som gør det muligt at organisere aflytning af indholdet af krypterede HTTPS-sessioner (transmission over HTTPS understøttes ikke, da Squid endnu ikke kan passere TLS i TLS). SSL-Bump tillader, efter modtagelse af den første opsnappede HTTPS-anmodning, at etablere en TLS-forbindelse med målserveren og opnå dens certifikat. Derefter bruger Squid værtsnavnet fra det rigtige certifikat modtaget fra serveren og opretter et dummy-certifikat, som det efterligner den anmodede server med, når det interagerer med klienten, mens det fortsætter med at bruge TLS-forbindelsen, der er etableret med målserveren til at modtage data (så at substitutionen ikke fører til outputadvarslerne i browsere på klientsiden, skal du tilføje dit certifikat, der bruges til at generere dummy-certifikater til rodcertifikatlageret).
- Tilføjet mark_client_connection og mark_client_pack-direktiver for at binde Netfilter-mærker (CONNMARK) til klient-TCP-forbindelser eller individuelle pakker.
Efter i jagten blev udgivelserne af Squid 5.2 og Squid 4.17 offentliggjort, hvor følgende sårbarheder blev rettet:
- CVE-2021-28116 - Information lækket under behandling af WCCPv2-udformede meddelelser. Sårbarheden tillader en angriber at ødelægge listen over kendte WCCP-routere og omdirigere proxyklienttrafik til deres vært. Problemet opstår kun i konfigurationer med WCCPv2-understøttelse aktiveret, og når det er muligt at forfalske routerens IP-adresse.
- CVE-2021-41611 - TLS-certifikatvalideringsfejl, der tillader adgang ved hjælp af certifikater, der ikke er tillid til.
Kilde: opennet.ru