Nei trije jier fan ûntwikkeling is in stabile release fan 'e Squid 5.1 proxy-tsjinner presintearre, klear foar gebrûk op produksjesystemen (releases 5.0.x hie de status fan beta-ferzjes). Nei't de 5.x-tûke stabile status krigen hat, wurde fan no ôf allinich reparaasjes foar kwetsberens en stabiliteitsproblemen dêryn makke, en lytse optimisaasjes binne ek tastien. De ûntwikkeling fan nije funksjes sil wurde útfierd yn 'e nije eksperimintele tûke 6.0. Brûkers fan 'e foarige stabile 4.x-tûke wurde advisearre om te plannen om te migrearjen nei de 5.x-tûke.
Wichtige ynnovaasjes yn Squid 5:
- De ymplemintaasje fan it ICAP (Internet Content Adaptation Protocol), brûkt foar yntegraasje mei eksterne ynhâldferifikaasjesystemen, hat stipe tafoege foar in data-bylage-meganisme (trailer), wêrtroch jo ekstra kopteksten mei metadata kinne heakje oan it antwurd, pleatst nei it berjocht lichem (Jo kinne bygelyks in kontrôlesum en details oer de identifisearre problemen stjoere).
- By it omlieden fan oanfragen wurdt it algoritme "Happy Eyeballs" brûkt, dy't fuortendaliks it ûntfongen IP-adres brûkt, sûnder te wachtsjen op alle mooglik beskikbere IPv4- en IPv6-doeladressen dy't wurde oplost. Ynstee fan de ynstelling "dns_v4_first" te brûken om te bepalen oft in IPv4- of IPv6-adresfamylje brûkt wurdt, wurdt no rekken holden mei de folchoarder fan it DNS-antwurd: as it DNS AAAA-antwurd earst komt by it wachtsjen op it oplossen fan in IP-adres, dan resultearjend IPv6-adres sil brûkt wurde. Sa wurdt it ynstellen fan de foarkar adresfamylje no dien op 'e firewall, DNS of opstartnivo mei de opsje "--disable-ipv6". De foarstelde wiziging lit ús de opsettiid fan TCP-ferbiningen fersnelle en de prestaasjesynfloed fan fertragingen by DNS-resolúsje ferminderje.
- Foar gebrûk yn 'e "external_acl"-rjochtline is de "ext_kerberos_sid_group_acl"-hanterer tafoege foar autentikaasje mei groepkontrôle yn Active Directory mei Kerberos. Om de groepnamme te freegjen, brûk it ldapsearch-hulpprogramma dat wurdt levere troch it OpenLDAP-pakket.
- Stipe foar it Berkeley DB-formaat is ôfkard fanwegen lisinsjeproblemen. De tûke fan Berkeley DB 5.x is in oantal jierren net ûnderhâlden en bliuwt mei unpatched kwetsberens, en de oergong nei nijere releases wurdt foarkommen troch in lisinsjeferoaring nei AGPLv3, wêrfan de easken ek jilde foar applikaasjes dy't BerkeleyDB brûke yn 'e foarm fan in bibleteek - Squid wurdt levere ûnder de GPLv2 lisinsje, en AGPL is net kompatibel mei GPLv2. Ynstee fan Berkeley DB waard it projekt oerdroegen oan it gebrûk fan 'e TrivialDB DBMS, dy't, yn tsjinstelling ta Berkeley DB, is optimalisearre foar simultane parallelle tagong ta de databank. Berkeley DB-stipe wurdt no behâlden, mar de "ext_session_acl" en "ext_time_quota_acl"-hannelers advisearje no it opslachtype "libtdb" te brûken ynstee fan "libdb".
- Stipe tafoege foar de CDN-Loop HTTP-header, definieare yn RFC 8586, wêrtroch jo loops kinne ûntdekke by it brûken fan netwurken foar levering fan ynhâld (de koptekst biedt beskerming tsjin situaasjes as in fersyk yn it proses fan trochferwizing tusken CDN's om ien of oare reden weromkomt nei de orizjinele CDN, dy't in einleaze loop foarmje).
- It SSL-Bump-meganisme, wêrmei jo de ynhâld fan fersifere HTTPS-sesjes kinne ûnderskeppe, hat stipe tafoege foar it omlieden fan spoofed (op 'e nij fersifere) HTTPS-oanfragen fia oare proxy-tsjinners spesifisearre yn cache_peer, mei in gewoane tunnel basearre op 'e HTTP CONNECT-metoade ( oerdracht fia HTTPS wurdt net stipe, om't Squid noch gjin TLS binnen TLS kin ferfiere). SSL-Bump lit jo in TLS-ferbining meitsje mei de doeltsjinner by ûntfangst fan it earste ûnderskepte HTTPS-fersyk en it sertifikaat te krijen. Hjirnei brûkt Squid de hostnamme fan it echte sertifikaat ûntfongen fan 'e tsjinner en makket in dummy-sertifikaat, wêrmei't it de oanfrege tsjinner neimakket by ynteraksje mei de kliïnt, wylst it trochgean mei it brûken fan de TLS-ferbining oprjochte mei de doeltsjinner om gegevens te ûntfangen ( sadat de ferfanging net liedt ta de útfier warskôgings yn browsers op 'e kliïntside, moatte jo jo sertifikaat tafoegje dat brûkt wurdt om fiktive sertifikaten te generearjen oan' e root-sertifikaatwinkel).
- Tafoege mark_client_connection en mark_client_pack rjochtlinen te binen Netfilter marks (CONNMARK) oan client TCP ferbinings of yndividuele pakketten.
Hot op har hakken waarden de releases fan Squid 5.2 en Squid 4.17 publisearre, wêryn de kwetsberens waarden reparearre:
- CVE-2021-28116 - Ynformaasjelekkage by it ferwurkjen fan spesjaal makke WCCPv2-berjochten. De kwetsberens lit in oanfaller de list mei bekende WCCP-routers korrupsje en ferkear fan proxy-tsjinner-kliïnten nei har host omleare. It probleem ferskynt allinich yn konfiguraasjes mei WCCPv2-stipe ynskeakele en as it mooglik is om it IP-adres fan 'e router te spoofjen.
- CVE-2021-41611 - In probleem yn TLS-sertifikaatferifikaasje lit tagong ta mei net-fertroude sertifikaten.
Boarne: opennet.ru