Post tri jaroj da evoluo, stabila eldono de la prokurservilo Squid 5.1 estas prezentita, preta por uzo en produktadsistemoj (eldonoj 5.0.x havis la statuson de beta-versioj). Post kiam la branĉo 5.x stabiligis, ĝi nun riparos nur vundeblecojn kaj stabilecajn problemojn, kaj negravaj optimumigoj ankaŭ estas permesitaj. Disvolviĝo de novaj funkcioj estos efektivigita en nova eksperimenta branĉo 6.0. Uzantoj de la pasinta 4.x stabila branĉo estas konsilitaj plani migri al la 5.x branĉo.
Ĉefaj novigoj de Squid 5:
- La efektivigo de la ICAP-protokolo (Protokolo pri Adaptado de Interreta Enhavo), uzata por integriĝo kun eksteraj enhavaj inspektadsistemoj, aldonis subtenon por la mekanismo de aldonado de datumoj (antaŭfilmo), kiu ebligas al vi alfiksi pliajn titolojn kun metadatenoj metitaj post la mesaĝo korpo al la mesaĝo. respondo (ekzemple, vi povas sendi ĉeksumon kaj detalojn de la identigitaj aferoj).
- Kiam oni redirektas petojn, oni uzas la algoritmon "Happy Eyeballs", kiu tuj uzas la ricevitan IP-adreson, sen atendi la rezolucion de ĉiuj potenciale disponeblaj IPv4 kaj IPv6 celadresoj. Anstataŭ respekti la agordon "dns_v4_first" por determini la sinsekvon en kiu IPv4 aŭ IPv6-adresfamilio estas uzata, DNS-responda ordo nun estas respektata: se AAAA DNS-respondo alvenas unue atendante ke IP-adreso estu solvita, tiam la ricevita. IPv6-adreso estos uzata. Tiel, agordi la preferatan adresfamilion nun fariĝas ĉe la fajroŝirmilo, DNS aŭ eknivelo kun la opcio "--disable-ipv6". La proponita ŝanĝo akcelas TCP-konektan agordan tempon kaj reduktas la efikecon de DNS-rezolucia latenco.
- Por uzo en la direktivo "external_acl", la prizorganto "ext_kerberos_sid_group_acl" estis aldonita por aŭtentikigo kun grupa konfirmo en Active Directory uzante Kerberos. Por pridemandi la grupnomon, uzu la ldapsearch ilo provizita de la OpenLDAP-pakaĵo.
- Subteno por la Berkeley DB-formato estis malrekomendita pro licencaj problemoj. La branĉo Berkeley DB 5.x estas neprizorgita dum pluraj jaroj kaj restas kun neflakitaj vundeblecoj, kaj ŝanĝi al pli novaj eldonoj ne permesas ŝanĝi la permesilon al AGPLv3, kies postuloj validas ankaŭ por aplikaĵoj uzantaj BerkeleyDB en la formo de biblioteko - Squid estas licencita sub la GPLv2, kaj AGPL estas malkongrua kun GPLv2. Anstataŭ Berkeley DB, la projekto estis ŝanĝita al uzado de la TrivialDB DBMS, kiu, male al Berkeley DB, estas optimumigita por samtempa paralela aliro al la datumbazo. Berkeley DB-subteno estas konservita nuntempe, sed la "ext_session_acl" kaj "ext_time_quota_acl" pritraktiloj nun estas rekomenditaj uzi la "libtdb" stokadspecon anstataŭ "libdb".
- Aldonita subteno por la CDN-Loop HTTP-kapo, difinita en RFC 8586, kiu permesas vin detekti buklojn kiam vi uzas enhavajn liverajn retojn (la kaplinio provizas protekton kontraŭ situacioj kiam peto en la procezo de alidirekto inter CDN-oj ial revenas al la origina CDN, formante senfinan buklon).
- Subteno por redirektado de falsaj (reĉifritaj) HTTPS-petoj tra aliaj prokurserviloj specifitaj en cache_peer uzante regulan tunelon bazitan sur la HTTP CONNECT-metodo estis aldonita al la SSL-Bump-mekanismo, kiu permesas organizi la interkapton de la enhavo de ĉifritaj HTTPS-sesioj (transsendo super HTTPS ne estas subtenata ĉar Squid ankoraŭ ne povas pasi TLS ene de TLS). SSL-Bump permesas, post ricevo de la unua kaptita HTTPS-peto, establi TLS-konekton kun la cela servilo kaj akiri ĝian atestilon. Post tio, Squid uzas la gastigan nomon de la vera atestilo ricevita de la servilo kaj kreas simulan atestilon, per kiu ĝi imitas la petitan servilon kiam ĝi interagas kun la kliento, dum daŭre uzas la TLS-konekton establitan kun la cela servilo por ricevi datumojn (do ke la anstataŭigo ne kondukas al la eligo-avertoj en retumiloj ĉe la klienta flanko, vi devas aldoni vian atestilon uzatan por generi falsajn atestojn al la radika atestilbutiko).
- Aldonitaj direktivoj mark_client_connection kaj mark_client_pack por ligi Netfilter-markojn (CONNMARK) al kliento TCP-konektoj aŭ individuaj pakaĵoj.
Sekvante en varma postkuro, la eldonoj de Squid 5.2 kaj Squid 4.17 estis publikigitaj en kiuj la sekvaj vundeblecoj estis fiksitaj:
- CVE-2021-28116 - Informoj filtritaj dum prilaborado de WCCPv2 kreitaj mesaĝoj. La vundebleco permesas atakanton korupti la liston de konataj WCCP-enkursigiloj kaj redirekti prokurklienttrafikon al sia gastiganto. La problemo aperas nur en agordoj kun WCCPv2-subteno ebligita kaj kiam eblas falsigi la IP-adreson de la enkursigilo.
- CVE-2021-41611 - TLS-atestila validuma eraro permesanta aliron per atestiloj ne fidindaj.
fonto: opennet.ru