ProHoster > Blog > ειδήσεις στο διαδίκτυο > Σταθερή έκδοση του διακομιστή μεσολάβησης Squid 5

Σταθερή έκδοση του διακομιστή μεσολάβησης Squid 5

Μετά από τρία χρόνια ανάπτυξης, παρουσιάζεται μια σταθερή έκδοση του διακομιστή μεσολάβησης Squid 5.1, έτοιμος για χρήση σε συστήματα παραγωγής (οι εκδόσεις 5.0.x είχαν την κατάσταση των εκδόσεων beta). Αφού γίνει σταθερός ο κλάδος 5.x, θα διορθώνει πλέον μόνο ευπάθειες και ζητήματα σταθερότητας, ενώ επιτρέπονται επίσης μικρές βελτιστοποιήσεις. Η ανάπτυξη νέων χαρακτηριστικών θα πραγματοποιηθεί σε έναν νέο πειραματικό κλάδο 6.0. Συνιστάται στους χρήστες του προηγούμενου σταθερού κλάδου 4.x να σχεδιάσουν τη μετεγκατάσταση στον κλάδο 5.x.

Οι κύριες καινοτομίες του Squid 5:

  • Η εφαρμογή του πρωτοκόλλου ICAP (Internet Content Adaptation Protocol), που χρησιμοποιείται για ενοποίηση με εξωτερικά συστήματα επιθεώρησης περιεχομένου, έχει προσθέσει υποστήριξη για τον μηχανισμό επισύναψης δεδομένων (τρέιλερ), ο οποίος σας επιτρέπει να επισυνάψετε πρόσθετες κεφαλίδες με μεταδεδομένα που τοποθετούνται μετά το σώμα του μηνύματος στο απάντηση (για παράδειγμα, μπορείτε να στείλετε ένα άθροισμα ελέγχου και λεπτομέρειες για τα προβλήματα που εντοπίστηκαν).
  • Κατά την ανακατεύθυνση αιτημάτων, χρησιμοποιείται ο αλγόριθμος "Happy Eyeballs", ο οποίος χρησιμοποιεί αμέσως τη ληφθείσα διεύθυνση IP, χωρίς να περιμένει την ανάλυση όλων των πιθανών διαθέσιμων διευθύνσεων στόχου IPv4 και IPv6. Αντί να λαμβάνεται υπόψη η ρύθμιση "dns_v4_first" για τον προσδιορισμό της σειράς με την οποία χρησιμοποιείται μια οικογένεια διευθύνσεων IPv4 ή IPv6, η σειρά απόκρισης DNS γίνεται πλέον σεβαστή: εάν μια απόκριση DNS AAAA φτάσει πρώτη ενώ περιμένει να επιλυθεί μια διεύθυνση IP, τότε το αποτέλεσμα Θα χρησιμοποιηθεί διεύθυνση IPv6. Έτσι, η ρύθμιση της προτιμώμενης οικογένειας διευθύνσεων γίνεται πλέον σε επίπεδο τείχους προστασίας, DNS ή εκκίνησης με την επιλογή "--disable-ipv6". Η προτεινόμενη αλλαγή επιταχύνει τον χρόνο ρύθμισης της σύνδεσης TCP και μειώνει τον αντίκτυπο στην απόδοση της καθυστέρησης ανάλυσης DNS.
  • Για χρήση στην οδηγία "external_acl", ο χειριστής "ext_kerberos_sid_group_acl" έχει προστεθεί για έλεγχο ταυτότητας με επαλήθευση ομάδας στην υπηρεσία καταλόγου Active Directory με χρήση Kerberos. Το βοηθητικό πρόγραμμα ldapsearch που παρέχεται από το πακέτο OpenLDAP χρησιμοποιείται για την αναζήτηση του ονόματος της ομάδας.
  • Η υποστήριξη για τη μορφή Berkeley DB έχει καταργηθεί λόγω προβλημάτων αδειοδότησης. Το υποκατάστημα Berkeley DB 5.x δεν έχει συντηρηθεί για αρκετά χρόνια και παραμένει με μη επιδιορθωμένα τρωτά σημεία και η μετάβαση σε νεότερες εκδόσεις δεν επιτρέπει την αλλαγή της άδειας χρήσης σε AGPLv3, οι απαιτήσεις της οποίας ισχύουν επίσης για εφαρμογές που χρησιμοποιούν BerkeleyDB με τη μορφή βιβλιοθήκης - Το Squid έχει άδεια χρήσης σύμφωνα με το GPLv2 και το AGPL δεν είναι συμβατό με το GPLv2. Αντί για το Berkeley DB, το έργο άλλαξε στη χρήση του TrivialDB DBMS, το οποίο, σε αντίθεση με το Berkeley DB, είναι βελτιστοποιημένο για ταυτόχρονη παράλληλη πρόσβαση στη βάση δεδομένων. Η υποστήριξη Berkeley DB έχει διατηρηθεί προς το παρόν, αλλά οι χειριστές "ext_session_acl" και "ext_time_quota_acl" συνιστώνται πλέον να χρησιμοποιούν τον τύπο αποθήκευσης "libtdb" αντί για "libdb".
  • Προστέθηκε υποστήριξη για την κεφαλίδα CDN-Loop HTTP, που ορίζεται στο RFC 8586, η οποία σας επιτρέπει να ανιχνεύετε βρόχους όταν χρησιμοποιείτε δίκτυα παράδοσης περιεχομένου (η κεφαλίδα παρέχει προστασία έναντι καταστάσεων όταν ένα αίτημα στη διαδικασία ανακατεύθυνσης μεταξύ CDN για κάποιο λόγο επιστρέφει πίσω στο αρχικό CDN, σχηματίζοντας έναν άπειρο βρόχο ).
  • Στον μηχανισμό SSL-Bump έχει προστεθεί υποστήριξη για ανακατεύθυνση πλαστών (επανακρυπτογραφημένων) αιτημάτων HTTPS μέσω άλλων διακομιστών μεσολάβησης που καθορίζονται στο cache_peer χρησιμοποιώντας μια κανονική σήραγγα βασισμένη στη μέθοδο HTTP CONNECT, ο οποίος επιτρέπει την οργάνωση της παρακολούθησης του περιεχομένου κρυπτογραφημένων περιόδων σύνδεσης HTTPS (μετάδοση μέσω HTTPS δεν υποστηρίζεται, καθώς το Squid δεν μπορεί ακόμη να περάσει το TLS εντός του TLS). Το SSL-Bump επιτρέπει, με τη λήψη του πρώτου αιτήματος HTTPS που υποκλαπεί, να δημιουργήσει μια σύνδεση TLS με τον διακομιστή προορισμού και να λάβει το πιστοποιητικό του. Μετά από αυτό, το Squid χρησιμοποιεί το όνομα κεντρικού υπολογιστή από το πραγματικό πιστοποιητικό που έλαβε από τον διακομιστή και δημιουργεί ένα εικονικό πιστοποιητικό με το οποίο μιμείται τον διακομιστή που ζητήθηκε όταν αλληλεπιδρά με τον πελάτη, ενώ συνεχίζει να χρησιμοποιεί τη σύνδεση TLS που έχει δημιουργηθεί με τον διακομιστή προορισμού για τη λήψη δεδομένων (έτσι ότι η αντικατάσταση δεν οδηγεί σε προειδοποιήσεις εξόδου σε προγράμματα περιήγησης στην πλευρά του πελάτη, πρέπει να προσθέσετε το πιστοποιητικό σας που χρησιμοποιείται για τη δημιουργία εικονικών πιστοποιητικών στο χώρο αποθήκευσης πιστοποιητικών ρίζας).
  • Προστέθηκαν οδηγίες mark_client_connection και mark_client_pack για τη σύνδεση σημάτων Netfilter (CONNMARK) σε συνδέσεις TCP πελάτη ή μεμονωμένα πακέτα.

Μετά από συνεχή αναζήτηση, δημοσιεύτηκαν οι εκδόσεις των Squid 5.2 και Squid 4.17 στις οποίες επιδιορθώθηκαν τα ακόλουθα τρωτά σημεία:

  • CVE-2021-28116 - Πληροφορίες που διέρρευσαν κατά την επεξεργασία των δημιουργημένων μηνυμάτων WCCPv2. Η ευπάθεια επιτρέπει σε έναν εισβολέα να καταστρέψει τη λίστα των γνωστών δρομολογητών WCCP και να ανακατευθύνει την κυκλοφορία πελάτη μεσολάβησης στον κεντρικό υπολογιστή του. Το πρόβλημα εμφανίζεται μόνο σε διαμορφώσεις με ενεργοποιημένη την υποστήριξη WCCPv2 και όταν είναι δυνατό να παραποιηθεί η διεύθυνση IP του δρομολογητή.
  • CVE-2021-41611 - Παρουσιάστηκε σφάλμα κατά την επικύρωση πιστοποιητικών TLS, επιτρέποντας την πρόσβαση με χρήση μη αξιόπιστων πιστοποιητικών.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο