Hiru urteko garapenaren ondoren, Squid 5.1 proxy zerbitzariaren bertsio egonkorra aurkeztu da, ekoizpen sistemetan erabiltzeko prest (5.0.x bertsioak beta bertsioen egoera zuten). 5.x adarrari egoera egonkorra eman ondoren, hemendik aurrera ahultasunen eta egonkortasun arazoen konponketak bakarrik egingo dira bertan, eta optimizazio txikiak ere onartzen dira. Ezaugarri berrien garapena 6.0 adar esperimental berrian egingo da. Aurreko 4.x adar egonkorreko erabiltzaileei gomendatzen zaie 5.x adarrera migratzeko asmoa izatea.
Squid 5-en berrikuntza nagusiak:
- Kanpoko edukiak egiaztatzeko sistemekin integratzeko erabiltzen den ICAP (Internet Content Adaptation Protocol) ezartzeak datuak eransteko mekanismo baten (trailerra) euskarria gehitu du, eta horri esker, erantzunari metadatuak dituzten goiburu gehigarriak eransteko, mezuaren ondoren jarrita. body (adibidez, checksum bat eta identifikatutako arazoei buruzko xehetasunak bidal ditzakezu).
- Eskaerak birbideratzerakoan, "Happy Eyeballs" algoritmoa erabiltzen da, berehala jasotako IP helbidea erabiltzen duena, erabilgarri izan daitezkeen IPv4 eta IPv6 helburu-helbide guztiak ebatzi arte itxaron gabe. IPv4 edo IPv4 helbide-familia bat erabiltzen den zehazteko "dns_v6_first" ezarpena erabili beharrean, DNS erantzunaren ordena hartzen da kontuan: DNS AAAA erantzuna IP helbide bat ebatziko zain dagoenean iristen bada lehenik, orduan ondoriozko IPv6 helbidea erabiliko da. Horrela, hobetsitako helbide-familia ezartzea orain suebakian, DNSan edo abiarazte mailan egiten da "--disable-ipv6" aukerarekin. Proposatutako aldaketari esker, TCP konexioen konfigurazio-denbora bizkortu eta atzerapenen errendimenduan eragina murrizten dugu DNS ebazpenean.
- "external_acl" zuzentarauan erabiltzeko, "ext_kerberos_sid_group_acl" kudeatzailea gehitu da Kerberos erabiliz Active Directory-n taldeak egiaztatzeko autentifikazioarekin. Taldearen izena kontsultatzeko, erabili OpenLDAP paketeak eskaintzen duen ldapsearch utilitatea.
- Berkeley DB formatuaren euskarria zaharkituta geratu da lizentzia-arazoengatik. Berkeley DB 5.x adarra ez da mantendu hainbat urtez eta adabakirik gabeko ahultasunekin jarraitzen du, eta bertsio berrienetara igarotzea eragozten da AGPLv3-rako lizentzia-aldaketa batek, zeinaren eskakizunak BerkeleyDB erabiltzen duten aplikazioei ere aplikatzen zaie. liburutegi bat - Squid GPLv2 lizentziapean hornitzen da, eta AGPL ez da GPLv2-rekin bateragarria. Berkeley DB-ren ordez, proiektua TrivialDB DBMS-ren erabilerara pasatu zen, Berkeley DB ez bezala, datu-baserako aldi berean sarbide paralelorako optimizatuta dagoena. Berkeley DB euskarria mantentzen da oraingoz, baina "ext_session_acl" eta "ext_time_quota_acl" kudeatzaileek orain "libtdb" biltegiratze mota erabiltzea gomendatzen dute "libdb"ren ordez.
- CDN-Loop HTTP goibururako euskarria gehitu da, RFC 8586-n definitutakoa, eta horrek begiztak detektatzeko aukera ematen du edukia bidaltzeko sareak erabiltzean (goiburuak babesa eskaintzen du arrazoiren batengatik CDNen artean birbideratzeko prozesuan dagoen eskaera bat itzultzen denean). jatorrizko CDN, amaigabeko begizta osatuz).
- SSL-Bump mekanismoak, enkriptatutako HTTPS saioen edukia atzematea ahalbidetzen duena, laguntza gehitu du cache_peer-en zehaztutako beste proxy zerbitzari batzuen bidez faltsututako (berriz enkriptatutako) HTTPS eskaerak birbideratzeko, HTTP CONNECT metodoan oinarritutako tunel arrunt bat erabiliz ( HTTPS bidezko transmisioa ez da onartzen, Squid-ek oraindik ezin baitu TLS garraiatu TLS barruan). SSL-Bump-ek helburuko zerbitzariarekin TLS konexio bat ezartzeko aukera ematen dizu atzemandako lehen HTTPS eskaera jaso eta bere ziurtagiria lortzeko. Honen ostean, Squid-ek zerbitzaritik jasotako benetako ziurtagiriaren ostalari-izena erabiltzen du eta ziurtagiri finko bat sortzen du, eta horrekin bezeroarekin elkarreraginean eskatutako zerbitzaria imitatzen du, helburuko zerbitzariarekin ezarritako TLS konexioa erabiltzen jarraitzen duen bitartean datuak jasotzeko ( ordezkapenak bezeroaren aldean nabigatzaileetan irteerako abisuak ekar ez ditzan, erro ziurtagirien biltegian fikziozko ziurtagiriak sortzeko erabilitako ziurtagiria gehitu behar duzu).
- Mark_client_connection eta mark_client_pack direktibak gehitu dira Netfilter markak (CONNMARK) bezero TCP konexioei edo banakako paketeei lotzeko.
Beraien ondoan, Squid 5.2 eta Squid 4.17 bertsioak argitaratu ziren, eta horietan ahultasunak konpondu ziren:
- CVE-2021-28116 - Informazio-isuria bereziki landutako WCCPv2 mezuak prozesatzen direnean. Ahultasunari esker, erasotzaile bati WCCP bideratzaile ezagunen zerrenda hondatzea eta proxy zerbitzariko bezeroetatik ostalarira birbideratzea ahalbidetzen du. Arazoa WCCPv2 euskarria gaituta duten konfigurazioetan bakarrik agertzen da eta bideratzailearen IP helbidea faltsutzea posible denean.
- CVE-2021-41611 - TLS ziurtagiriaren egiaztapenaren arazo batek fidagarriak ez diren ziurtagiriak erabiliz atzitzeko aukera ematen du.
Iturria: opennet.ru