Kolmen vuoden kehitystyön jälkeen Squid 5.1 -välityspalvelimesta on esitelty vakaa julkaisu, joka on valmis käytettäväksi tuotantojärjestelmissä (julkaisut 5.0.x olivat beta-versioita). Kun 5.x-haara on saanut vakaan tilan, siihen tehdään jatkossa vain korjauksia haavoittuvuuksiin ja vakausongelmiin, ja myös pienet optimoinnit ovat sallittuja. Uusien ominaisuuksien kehittäminen toteutetaan uudessa kokeellisessa haarassa 6.0. Edellisen vakaan 4.x-haaran käyttäjiä kehotetaan suunnittelemaan siirtymistä 5.x-haaraan.
Tärkeimmät innovaatiot Squid 5:ssä:
- Ulkoisiin sisällönvarmistusjärjestelmiin integroitavan ICAP:n (Internet Content Adaptation Protocol) toteutus on lisännyt tuen tietojen liitemekanismille (trailerille), jonka avulla voit liittää vastaukseen ylimääräisiä metatietoja sisältäviä otsikoita viestin jälkeen. body (voit esimerkiksi lähettää tarkistussumman ja tiedot tunnistetuista ongelmista).
- Pyyntöjen uudelleenohjauksessa käytetään "Happy Eyeballs" -algoritmia, joka käyttää välittömästi vastaanotettua IP-osoitetta odottamatta kaikkien mahdollisesti saatavilla olevien IPv4- ja IPv6-kohdeosoitteiden selvittämistä. Sen sijaan, että käytettäisiin asetusta "dns_v4_first" määrittämään, käytetäänkö IPv4- vai IPv6-osoiteperhettä, DNS-vastauksen järjestys otetaan nyt huomioon: jos DNS AAAA -vastaus saapuu ensimmäisenä odottaessaan IP-osoitteen ratkaisemista, tuloksena olevaa IPv6-osoitetta käytetään. Näin ollen ensisijaisen osoiteperheen asettaminen tehdään nyt palomuuri-, DNS- tai käynnistystasolla "--disable-ipv6"-vaihtoehdolla. Ehdotetun muutoksen avulla voimme nopeuttaa TCP-yhteyksien asennusaikaa ja vähentää DNS-selvityksen viiveiden suorituskykyä.
- "external_acl"-direktiivin käyttöä varten "ext_kerberos_sid_group_acl"-käsittelijä on lisätty todennusta varten ryhmätarkistuksella Active Directoryssa Kerberosin avulla. Voit kysyä ryhmän nimeä käyttämällä OpenLDAP-paketin toimittamaa ldapsearch-apuohjelmaa.
- Berkeley DB -muodon tuki on poistettu käytöstä lisenssiongelmien vuoksi. Berkeley DB 5.x -haaraa ei ole ylläpidetty useaan vuoteen ja siinä on korjaamattomia haavoittuvuuksia, ja siirtymistä uudempiin julkaisuihin estää lisenssimuutos AGPLv3:een, jonka vaatimukset koskevat myös sovelluksia, jotka käyttävät BerkeleyDB:tä kirjasto - Squid toimitetaan GPLv2-lisenssillä, eikä AGPL ole yhteensopiva GPLv2:n kanssa. Berkeley DB:n sijaan projekti siirrettiin TrivialDB DBMS:n käyttöön, joka toisin kuin Berkeley DB on optimoitu samanaikaiseen rinnakkaiskäyttöön tietokantaan. Berkeley DB -tuki säilytetään toistaiseksi, mutta "ext_session_acl"- ja "ext_time_quota_acl"-käsittelijät suosittelevat nyt "libtdb"-tallennustyypin käyttöä "libdb":n sijaan.
- Lisätty tuki RFC 8586:ssa määritetylle CDN-Loop HTTP-otsikolle, jonka avulla voit havaita silmukat sisällönjakeluverkkoja käytettäessä (otsikko suojaa tilanteita vastaan, kun CDN-verkkojen välillä uudelleenohjausprosessissa oleva pyyntö palaa jostain syystä takaisin alkuperäinen CDN, joka muodostaa loputtoman silmukan ).
- SSL-Bump-mekanismi, jonka avulla voit siepata salattujen HTTPS-istuntojen sisältöä, on lisännyt tuen väärennettyjen (uudelleensalattujen) HTTPS-pyyntöjen uudelleenohjaamiseen muiden välityspalvelinten kautta, jotka on määritetty cache_peer-kohdassa käyttämällä tavallista tunnelia, joka perustuu HTTP CONNECT -menetelmään ( lähetystä HTTPS:n kautta ei tueta, koska Squid ei voi vielä siirtää TLS:ää TLS:n sisällä). SSL-Bumpin avulla voit muodostaa TLS-yhteyden kohdepalvelimeen saatuaan ensimmäisen siepatun HTTPS-pyynnön ja hankkia sen varmenteen. Tämän jälkeen Squid käyttää palvelimelta saadun todellisen varmenteen isäntänimeä ja luo valevarmenteen, jolla se jäljittelee pyydettyä palvelinta vuorovaikutuksessa asiakkaan kanssa ja jatkaa samalla kohdepalvelimen kanssa muodostetun TLS-yhteyden käyttöä tiedon vastaanottamiseen ( jotta korvaaminen ei johda tulosvaroituksiin asiakaspuolen selaimissa, sinun on lisättävä kuvitteellisten varmenteiden luomiseen käytetty varmenne juurivarmennevarastoon).
- Lisätty mark_client_connection- ja mark_client_pack-käskyt Netfilter-merkkien (CONNMARK) sitomiseksi asiakkaan TCP-yhteyksiin tai yksittäisiin paketteihin.
Squid 5.2- ja Squid 4.17 -julkaisut julkaistiin, joissa haavoittuvuudet korjattiin:
- CVE-2021-28116 - Tietovuoto, kun käsitellään erityisesti muotoiltuja WCCPv2-viestejä. Haavoittuvuuden ansiosta hyökkääjä voi vioittaa tunnettujen WCCP-reitittimien luetteloa ja ohjata liikennettä välityspalvelinasiakkailta isäntään. Ongelma ilmenee vain kokoonpanoissa, joissa WCCPv2-tuki on käytössä ja kun on mahdollista huijata reitittimen IP-osoite.
- CVE-2021-41611 – Ongelma TLS-varmenteen vahvistuksessa sallii pääsyn epäluotettavilla varmenteilla.
Lähde: opennet.ru