Tar éis trí bliana d'fhorbairt, tá scaoileadh cobhsaí den seachfhreastalaí Squid 5.1 curtha i láthair, réidh le húsáid ar chórais táirgthe (bhí stádas na leaganacha béite ag scaoileadh 5.0.x). Tar éis stádas cobhsaí a thabhairt don bhrainse 5.x, as seo amach ní dhéanfar ach réitigh maidir le leochaileachtaí agus fadhbanna cobhsaíochta ann, agus ceadaítear mionleasuithe freisin. Déanfar forbairt gnéithe nua sa bhrainse turgnamhach nua 6.0. Moltar d'úsáideoirí an bhrainse 4.x cobhsaí roimhe seo pleanáil a dhéanamh chun dul ar imirce go dtí an brainse 5.x.
Príomhnuálaíochtaí i Scuid 5:
- Chuir cur i bhfeidhm an ICAP (Prótacal um Oiriúnú Ábhar Idirlín), a úsáidtear chun comhtháthú le córais fíoraithe inneachair sheachtraigh, tacaíocht do mheicníocht ceangaltáin sonraí (leantóir), a ligeann duit ceanntásca breise a cheangal le meiteashonraí leis an bhfreagra, a chuirtear i ndiaidh na teachtaireachta. comhlacht (mar shampla, is féidir leat seiceam a sheoladh agus sonraí faoi na fadhbanna a aithníodh).
- Nuair a dhéantar iarratais a atreorú, úsáidtear an algartam “Happy Eyeballs”, a úsáideann an seoladh IP faighte láithreach, gan fanacht go réiteofar gach sprioc-seoladh IPv4 agus IPv6 a d’fhéadfadh a bheith ar fáil. In ionad an socrú "dns_v4_first" a úsáid chun a chinneadh an n-úsáidtear teaghlach seoltaí IPv4 nó IPv6, cuirtear ord an fhreagra DNS san áireamh anois: má thagann freagra DNS AAAA ar dtús agus tú ag fanacht le seoladh IP a réiteach, ansin an úsáidfear seoladh IPv6 mar thoradh air. Mar sin, déantar an teaghlach seolta roghnaithe a shocrú anois ag an mballa dóiteáin, ag an leibhéal DNS nó ag an leibhéal tosaithe leis an rogha "--disable-ipv6". Ligeann an t-athrú atá beartaithe dúinn am socraithe nasc TCP a bhrostú agus tionchar feidhmíochta na moilleanna le linn réitigh DNS a laghdú.
- Le húsáid sa treoir "external_acl", tá an láimhseálaí "ext_kerberos_sid_group_acl" curtha leis le haghaidh fíordheimhnithe le seiceáil grúpa san Eolaire Gníomhach ag baint úsáide as Kerberos. Chun ainm an ghrúpa a cheistiú, úsáid an áirgiúlacht ldapsearch a sholáthraíonn an pacáiste OpenLDAP.
- Tá an tacaíocht d'fhormáid Berkeley DB imithe i léig de bharr saincheisteanna ceadúnaithe. Níl brainse Berkeley DB 5.x coinnithe le roinnt blianta anuas agus tá sé fós le leochaileachtaí gan phasáil, agus cuirtear cosc ar an aistriú chuig eisiúintí níos nuaí trí athrú ceadúnais go AGPLv3, a bhfuil feidhm ag na ceanglais maidir le hiarratais a úsáideann BerkeleyDB i bhfoirm leabharlann - soláthraítear squid faoin gceadúnas GPLv2, agus níl AGPL comhoiriúnach le GPLv2. In ionad Berkeley DB, aistríodh an tionscadal chuig úsáid an TrivialDB DBMS, atá, murab ionann agus Berkeley DB, optamaithe le haghaidh rochtain chomhuaineach ar an mbunachar sonraí. Coinnítear tacaíocht Berkeley DB faoi láthair, ach molann na láimhseálaithe "ext_session_acl" agus "ext_time_quota_acl" anois an cineál stórála "libtdb" a úsáid in ionad "libdb".
- Tacaíocht bhreise don cheanntásc CDN-Lúb HTTP, atá sainmhínithe in RFC 8586, a ligeann duit lúba a bhrath agus líonraí seachadta inneachair á n-úsáid agat (soláthraítear cosaint sa cheanntásc ar chásanna nuair a fhilleann iarratas atá á atreorú idir CDNanna ar chúis éigin ar chúis éigin CDN bunaidh, lúb gan teorainn ).
- Chuir an mheicníocht SSL-Bump, a ligeann duit inneachar na seisiún criptithe HTTPS a idircheapadh, tacaíocht bhreise chun iarratais HTTPS bréagacha (athchriptithe) a atreorú trí sheachfhreastalaithe eile atá sonraithe in cache_peer, ag baint úsáide as tollán rialta bunaithe ar an modh HTTP CONNECT ( ní thacaítear le tarchur trí HTTPS, ós rud é nach féidir le Scuid TLS a iompar laistigh de TLS fós). Ligeann SSL-Bump duit nasc TLS a bhunú leis an spriocfhreastalaí nuair a fhaightear an chéad iarratas HTTPS idircheapadh agus a theastas a fháil. Ina dhiaidh seo, úsáideann Squid an t-óstainm ón bhfíor-dheimhniú a fuarthas ón bhfreastalaí agus cruthaíonn sé teastas caochadán, lena ndéanann sé aithris ar an bhfreastalaí iarrtha agus é ag idirghníomhú leis an gcliant, agus an nasc TLS a bunaíodh leis an bhfreastalaí sprice á úsáid chun sonraí a fháil ( ionas nach mbeidh an t-ionadú mar thoradh ar na rabhaidh aschuir i mbrabhsálaithe ar thaobh an chliaint, ní mór duit do theastas a úsáidtear chun teastais bhréige a ghiniúint a chur leis an stór teastas fréimhe).
- Cuireadh treoracha mark_client_connection agus mark_client_pack leis chun marcanna Netfilter (CONNMARK) a cheangal le naisc TCP cliaint nó le paicéid aonair.
Ag teacht ar a gcuid sála, foilsíodh eisiúintí Scuid 5.2 agus Scuid 4.17, inar socraíodh na leochaileachtaí:
- CVE-2021-28116 - Sceitheadh faisnéise agus teachtaireachtaí WCCCPv2 saindeartha á bpróiseáil. Ligeann an leochaileacht sin d’ionsaitheoir liosta na ródairí WCCP aitheanta a éilliú agus trácht a atreorú ó chliaint seachfhreastalaí chuig a óstach. Ní fheictear an fhadhb ach i bhfoirmíochtaí a bhfuil tacaíocht WCCPv2 cumasaithe acu agus nuair is féidir seoladh IP an ródaire a cheansú.
- CVE-2021-41611 - Ceadaíonn saincheist maidir le fíorú teastas TLS rochtain ag baint úsáide as teastais neamhiontaofa.
Foinse: oscailtenet.ru