Pärast kolmeaastast arendustööd esitleti Squid 5.1 puhverserveri stabiilset väljalaset, mis on tootmissüsteemides kasutamiseks valmis (väljalasked 5.0.x olid beetaversioonide staatuses). Pärast seda, kui 5.x haru on saanud stabiilse staatuse, tehakse selles edaspidi ainult haavatavuste ja stabiilsusprobleemide parandusi ning lubatud on ka pisioptimeerimine. Uute funktsioonide väljatöötamine viiakse läbi uues eksperimentaalses harus 6.0. Eelmise stabiilse 4.x haru kasutajatel soovitatakse plaanida üle minna 5.x harule.
Squid 5 peamised uuendused:
- Väliste sisukontrollisüsteemidega integreerimiseks kasutatava ICAP-i (Internet Content Adaptation Protocol) juurutamine on lisanud tuge andmete manustamise mehhanismile (haagisele), mis võimaldab lisada vastusele täiendavaid metaandmetega päiseid, mis asetatakse sõnumi järele. keha (näiteks saate saata kontrollsumma ja üksikasjad tuvastatud probleemide kohta).
- Päringute ümbersuunamisel kasutatakse “Happy Eyeballs” algoritmi, mis kasutab saadud IP-aadressi koheselt ära, ootamata kõigi potentsiaalselt saadaolevate IPv4 ja IPv6 sihtaadresside lahendamist. Selle asemel, et kasutada seadet "dns_v4_first", et määrata, kas kasutatakse IPv4 või IPv6 aadressiperekonda, võetakse nüüd arvesse DNS-i vastuse järjekorda: kui DNS-i AAAA-vastus saabub esimesena, kui oodatakse IP-aadressi lahendamist, siis kasutatakse saadud IPv6 aadressi. Seega tehakse eelistatud aadressiperekonna seadistamine nüüd tulemüüri, DNS-i või käivitustasandil valikuga "--disable-ipv6". Kavandatav muudatus võimaldab meil kiirendada TCP-ühenduste seadistamise aega ja vähendada DNS-i lahendamise viivituste mõju jõudlusele.
- Direktiiv "external_acl" kasutamiseks on lisatud käitleja "ext_kerberos_sid_group_acl", et autentida koos Kerberose abil Active Directory rühmakontrolliga. Grupi nime päringu tegemiseks kasutage OpenLDAP-paketi pakutavat utiliiti ldapsearch.
- Berkeley DB-vormingu tugi on litsentsiprobleemide tõttu aegunud. Berkeley DB 5.x haru pole mitu aastat hooldatud ja see on endiselt parandamata haavatavustega ning uuematele väljalasetele üleminekut takistab litsentsi muutmine AGPLv3-le, mille nõuded kehtivad ka rakendustele, mis kasutavad BerkeleyDB-d kujul teek – Squid tarnitakse GPLv2 litsentsi alusel ja AGPL ei ühildu GPLv2-ga. Berkeley DB asemel viidi projekt üle TrivialDB DBMS-i kasutamisele, mis erinevalt Berkeley DB-st on optimeeritud samaaegseks paralleelseks juurdepääsuks andmebaasile. Berkeley DB tugi on praegu säilinud, kuid töötlejad "ext_session_acl" ja "ext_time_quota_acl" soovitavad nüüd kasutada "libdb" asemel salvestustüüpi "libtdb".
- Lisatud on RFC 8586 defineeritud CDN-Loop HTTP päise tugi, mis võimaldab tuvastada silmuseid sisu edastamise võrkude kasutamisel (päis pakub kaitset olukordade eest, kui CDN-ide vahel ümbersuunamise protsessis olev päring naaseb mingil põhjusel tagasi algne CDN, mis moodustab lõputu tsükli).
- SSL-Bump mehhanism, mis võimaldab teil krüptitud HTTPS-i seansside sisu pealt kuulata, on lisanud toe võltsitud (uuesti krüptitud) HTTPS-i päringute ümbersuunamiseks läbi teiste vahemälu_peer määratletud puhverserverite kaudu, kasutades tavalist tunnelit, mis põhineb HTTP CONNECT meetodil ( HTTPS-i kaudu edastamist ei toetata, kuna Squid ei saa veel TLS-i TLS-i sees transportida). SSL-Bump võimaldab teil pärast esimese pealtkuulatud HTTPS-i päringu saamist luua TLS-ühenduse sihtserveriga ja hankida selle sertifikaat. Pärast seda kasutab Squid serverilt saadud tõelise sertifikaadi hostinime ja loob näiva sertifikaadi, millega ta jäljendab kliendiga suhtlemisel küsitud serverit, jätkates samal ajal sihtserveriga loodud TLS-ühenduse kasutamist andmete vastuvõtmiseks ( et asendamine ei tooks kaasa väljundhoiatusi kliendipoolsetes brauserites, peate juursertifikaadi salve lisama oma fiktiivsete sertifikaatide genereerimiseks kasutatud sertifikaadi).
- Lisati käsud mark_client_connection ja mark_client_pack, et siduda Netfiltri märgid (CONNMARK) kliendi TCP-ühenduste või üksikute pakettidega.
Kuumad kannul avaldati Squid 5.2 ja Squid 4.17 väljalasked, milles haavatavused parandati:
- CVE-2021-28116 – Teabeleke spetsiaalselt koostatud WCCPv2 sõnumite töötlemisel. See haavatavus võimaldab ründajal rikkuda teadaolevate WCCP-ruuterite loendit ja suunata liiklus puhverserveri klientidelt oma hosti. Probleem ilmneb ainult konfiguratsioonides, kus WCCPv2 tugi on lubatud ja kui on võimalik ruuteri IP-aadressi võltsida.
- CVE-2021-41611 – TLS-i sertifikaadi kontrollimise probleem võimaldab juurdepääsu ebausaldusväärsete sertifikaatide abil.
Allikas: opennet.ru