Post tri jaroj da evoluo, stabila eldono de la prokurservilo Squid 5.1 estas prezentita, preta por uzo en produktadsistemoj (eldonoj 5.0.x havis la statuson de beta-versioj). Post kiam la branĉo 5.x stabiligis, ĝi nun riparos nur vundeblecojn kaj stabilecajn problemojn, kaj negravaj optimumigoj ankaŭ estas permesitaj. Disvolviĝo de novaj funkcioj estos efektivigita en nova eksperimenta branĉo 6.0. Uzantoj de la pasinta 4.x stabila branĉo estas konsilitaj plani migri al la 5.x branĉo.
Ĉefaj novigoj de Squid 5:
- La efektivigo de la ICAP-protokolo (Protokolo pri Adaptado de Interreta Enhavo), uzata por integriĝo kun eksteraj enhavaj inspektadsistemoj, aldonis subtenon por la mekanismo de aldonado de datumoj (antaŭfilmo), kiu ebligas al vi alfiksi pliajn titolojn kun metadatenoj metitaj post la mesaĝo korpo al la mesaĝo. respondo (ekzemple, vi povas sendi ĉeksumon kaj detalojn de la identigitaj aferoj).
- Dum redirektado de petoj, oni uzas la algoritmon "Happy Eyeballs" (Happy Okulgloboj), kiu tuj uzas la ricevitan IP-adreson sen atendi la solvon de ĉiuj eble disponeblaj IPv4 kaj IPv6 celadresoj. Anstataŭ uzi la agordon "dns_v4_first" por determini la ordon, laŭ kiu uzi la IPv4- aŭ IPv6-adresfamilion, oni nun konsideras la respondordon de DNS: se, atendante solvon, IP-adresoj Se la unua DNS AAAA respondo estos ricevita, la rezulta IPv6-adreso estos uzata. Tial, la agordo de la preferata adresfamilio nun estas farata ĉe la fajromuro, DNS, aŭ startiga nivelo per la opcio "--disable-ipv6". Ĉi tiu proponita ŝanĝo plibonigas la agordajn tempojn de TCP-konekto kaj reduktas la efikon de la latenteco de DNS-rezolucio sur la rendimenton.
- Por uzo en la direktivo "external_acl", la prizorganto "ext_kerberos_sid_group_acl" estis aldonita por aŭtentikigo kun grupa konfirmo en Active Directory uzante Kerberos. Por pridemandi la grupnomon, uzu la ldapsearch ilo provizita de la OpenLDAP-pakaĵo.
- Subteno por la Berkeley DB-formato estis malrekomendita pro licencaj problemoj. La branĉo Berkeley DB 5.x estas neprizorgita dum pluraj jaroj kaj restas kun neflakitaj vundeblecoj, kaj ŝanĝi al pli novaj eldonoj ne permesas ŝanĝi la permesilon al AGPLv3, kies postuloj validas ankaŭ por aplikaĵoj uzantaj BerkeleyDB en la formo de biblioteko - Squid estas licencita sub la GPLv2, kaj AGPL estas malkongrua kun GPLv2. Anstataŭ Berkeley DB, la projekto estis ŝanĝita al uzado de la TrivialDB DBMS, kiu, male al Berkeley DB, estas optimumigita por samtempa paralela aliro al la datumbazo. Berkeley DB-subteno estas konservita nuntempe, sed la "ext_session_acl" kaj "ext_time_quota_acl" pritraktiloj nun estas rekomenditaj uzi la "libtdb" stokadspecon anstataŭ "libdb".
- Aldonita subteno por la CDN-Loop HTTP-kapo, difinita en RFC 8586, kiu permesas vin detekti buklojn kiam vi uzas enhavajn liverajn retojn (la kaplinio provizas protekton kontraŭ situacioj kiam peto en la procezo de alidirekto inter CDN-oj ial revenas al la origina CDN, formante senfinan buklon).
- Subteno por redirektado de falsaj (reĉifritaj) HTTPS-petoj tra aliaj prokurserviloj specifitaj en cache_peer uzante regulan tunelon bazitan sur la HTTP CONNECT-metodo estis aldonita al la SSL-Bump-mekanismo, kiu permesas organizi la interkapton de la enhavo de ĉifritaj HTTPS-sesioj (transsendo super HTTPS ne estas subtenata ĉar Squid ankoraŭ ne povas pasi TLS ene de TLS). SSL-Bump permesas, post ricevo de la unua kaptita HTTPS-peto, establi TLS-konekton kun la cela servilo kaj akiri ĝian atestilon. Post tio, Squid uzas la gastigan nomon de la vera atestilo ricevita de la servilo kaj kreas simulan atestilon, per kiu ĝi imitas la petitan servilon kiam ĝi interagas kun la kliento, dum daŭre uzas la TLS-konekton establitan kun la cela servilo por ricevi datumojn (do ke la anstataŭigo ne kondukas al la eligo-avertoj en retumiloj ĉe la klienta flanko, vi devas aldoni vian atestilon uzatan por generi falsajn atestojn al la radika atestilbutiko).
- Aldonitaj direktivoj mark_client_connection kaj mark_client_pack por ligi Netfilter-markojn (CONNMARK) al kliento TCP-konektoj aŭ individuaj pakaĵoj.
Sekvante en varma postkuro, la eldonoj de Squid 5.2 kaj Squid 4.17 estis publikigitaj en kiuj la sekvaj vundeblecoj estis fiksitaj:
- CVE-2021-28116 - Informoj filtritaj dum prilaborado de WCCPv2 kreitaj mesaĝoj. La vundebleco permesas atakanton korupti la liston de konataj WCCP-enkursigiloj kaj redirekti prokurklienttrafikon al sia gastiganto. La problemo aperas nur en agordoj kun WCCPv2-subteno ebligita kaj kiam eblas falsigi la IP-adreson de la enkursigilo.
- CVE-2021-41611 - Validiga Eraro TLS-atestiloj, permesante aliron uzante nefidindajn atestilojn.
fonto: opennet.ru
