Às deidh trì bliadhna de leasachadh, chaidh foillseachadh seasmhach den t-seirbheisiche proxy Squid 5.1 a thaisbeanadh, deiseil airson a chleachdadh air siostaman cinneasachaidh (leigeil a-mach bha inbhe dreachan beta aig 5.0.x). Às deidh inbhe seasmhach a thoirt don mheur 5.x, bho seo a-mach cha tèid ach fuasgladh fhaighinn air so-leòntachd agus duilgheadasan seasmhachd, agus tha mion-leasachaidhean ceadaichte cuideachd. Thèid leasachadh feartan ùra a dhèanamh anns a 'mheur deuchainneach ùr 6.0. Thathas a’ comhairleachadh luchd-cleachdaidh a’ mheur 4.x seasmhach a bh’ ann roimhe planadh airson imrich chun mheur 5.x.
Prìomh innleachdan ann an Squid 5:
- Tha buileachadh an ICAP (Pròtacal Atharrachadh Susbaint Eadar-lìn), air a chleachdadh airson amalachadh le siostaman dearbhaidh susbaint taobh a-muigh, air taic a chuir ris airson inneal ceangail dàta (trèilear), a leigeas leat cinn-cinn a bharrachd le meata-dàta a cheangal ris an fhreagairt, air a chuir às deidh an teachdaireachd bodhaig (mar eisimpleir, faodaidh tu checksum a chuir agus mion-fhiosrachadh mu na duilgheadasan a chaidh ainmeachadh).
- Nuair a bhios tu ag ath-stiùireadh iarrtasan, thathas a’ cleachdadh an algairim “Happy Eyeballs”, a chleachdas an seòladh IP a fhuaireadh sa bhad, gun a bhith a’ feitheamh ri gach seòladh targaid IPv4 agus IPv6 a dh’ fhaodadh a bhith air fhuasgladh. An àite a bhith a’ toirt aire don t-suidheachadh “dns_v4_first” gus faighinn a-mach a bheil teaghlach seòladh IPv4 no IPv6 air a chleachdadh, thathas a-nis a’ toirt aire do òrdugh freagairt DNS: ma ruigeas freagairt DNS AAAA an-toiseach nuair a tha thu a’ feitheamh ri seòladh IP fuasgladh, an uairsin thèid an seòladh IPv6 a thig às a chleachdadh. Mar sin, tha suidheachadh an teaghlaich seòlaidh as fheàrr leotha a-nis air a dhèanamh aig a’ bhalla-teine, DNS no ìre tòiseachaidh leis an roghainn “--disable-ipv6”. Leigidh an t-atharrachadh a thathar a’ moladh leinn an ùine rèiteachaidh de cheanglaichean TCP a luathachadh agus a’ bhuaidh dèanadais a bhios aig dàil rè fuasglaidh DNS a lùghdachadh.
- Airson a chleachdadh anns an stiùireadh “external_acl”, chaidh an inneal-làimhseachaidh “ext_kerberos_sid_group_acl” a chur ris airson dearbhadh le sgrùdadh buidhne ann an Active Directory a’ cleachdadh Kerberos. Gus ainm a’ chuantail a cheasnachadh, cleachd an goireas ldapsearch a thug pasgan OpenLDAP seachad.
- Chan eil taic airson cruth Berkeley DB air a mholadh mar thoradh air cùisean ceadachd. Chan eil meur Berkeley DB 5.x air a bhith air a chumail suas airson grunn bhliadhnaichean agus tha e fhathast le so-leòntachd gun atharrachadh, agus tha an gluasad gu fiosan nas ùire air a chasg le atharrachadh cead gu AGPLv3, agus tha na riatanasan aige cuideachd a’ buntainn ri tagraidhean a chleachdas BerkeleyDB ann an cruth leabharlann - tha Squid air a thoirt seachad fo chead GPLv2, agus chan eil AGPL co-chòrdail ri GPLv2. An àite Berkeley DB, chaidh am pròiseact a ghluasad gu cleachdadh an TrivialDB DBMS, a tha, eu-coltach ri Berkeley DB, air a bharrrachadh airson ruigsinneachd co-shìnte air an stòr-dàta aig an aon àm. Tha taic Berkeley DB air a chumail an-dràsta, ach tha an luchd-làimhseachaidh “ext_session_acl” agus “ext_time_quota_acl” a-nis a’ moladh an seòrsa stòraidh “libtdb” a chleachdadh an àite “libdb”.
- Taic a bharrachd airson bann-cinn CDN-Loop HTTP, air a mhìneachadh ann an RFC 8586, a leigeas leat lùban a lorg nuair a bhios tu a’ cleachdadh lìonraidhean lìbhrigidh susbaint (tha an bann-cinn a’ toirt dìon an aghaidh shuidheachaidhean nuair a thilleas iarrtas a tha sa phròiseas ath-stiùireadh eadar CDNn airson adhbhar air choireigin air ais gu CDN tùsail, a’ cruthachadh lùb gun chrìoch).
- Tha an uidheamachd SSL-Bump, a leigeas leat susbaint sheiseanan HTTPS crioptaichte a ghlacadh, air taic a chuir ri bhith ag ath-stiùireadh iarrtasan HTTPS spoofed (ath-chrioptachadh) tro luchd-frithealaidh progsaidh eile a tha air an sònrachadh ann an cache_peer, a’ cleachdadh tunail cunbhalach stèidhichte air modh HTTP CONNECT ( chan eil taic ri tar-chuir tro HTTPS, oir chan urrainn dha Squid fhathast TLS a ghiùlan taobh a-staigh TLS). Leigidh SSL-Bump leat ceangal TLS a stèidheachadh leis an t-seirbheisiche targaid nuair a gheibh thu a’ chiad iarrtas HTTPS eadar-ghabhail agus an teisteanas aige fhaighinn. Às deidh seo, cleachdaidh Squid an t-ainm aoigheachd bhon fhìor theisteanas a fhuaireadh bhon t-seirbheisiche agus cruthaichidh e teisteanas meallta, leis am bi e ag atharrais air an t-seirbheisiche a chaidh iarraidh nuair a bhios e ag eadar-obrachadh leis an neach-dèiligidh, fhad ‘s a chumas e a’ cleachdadh a ’cheangal TLS a chaidh a stèidheachadh leis an t-seirbheisiche targaid gus dàta fhaighinn ( gus nach lean an ionadachadh gu rabhaidhean toraidh ann am brobhsairean air taobh an neach-dèiligidh, feumaidh tu an teisteanas agad a chaidh a chleachdadh gus teisteanasan meallta a ghineadh a chuir ris a’ bhùth teisteanasan freumh).
- Chaidh stiùiridhean mark_client_connection agus mark_client_pack a chuir ris gus comharran Netfilter (CONNMARK) a cheangal ri ceanglaichean TCP teachdaiche no pacaidean fa leth.
Teth air an t-sàil, chaidh fiosan Squid 5.2 agus Squid 4.17 fhoillseachadh, anns an deach na so-leòntachd a shuidheachadh:
- CVE-2021-28116 - Aodion fiosrachaidh nuair a bhios tu a’ giullachd teachdaireachdan WCCCPv2 a chaidh an dèanamh gu sònraichte. Tha an so-leòntachd a’ leigeil le neach-ionnsaigh an liosta de routers WCCP aithnichte a thruailleadh agus trafaic ath-stiùireadh bho luchd-dèiligidh frithealaiche progsaidh chun aoigh aca. Chan eil an duilgheadas a’ nochdadh ach ann an rèiteachaidhean le taic WCCCPv2 air a chomasachadh agus nuair a tha e comasach seòladh IP an router a spoof.
- CVE-2021-41611 - Tha cùis ann an dearbhadh teisteanais TLS a’ ceadachadh ruigsinneachd le bhith a’ cleachdadh theisteanasan gun earbsa.
Source: fosgailtenet.ru