ProHoster > Pūnaewele > nūhou pūnaewele > Hoʻokuʻu paʻa o ka server proxy Squid 5

Hoʻokuʻu paʻa o ka server proxy Squid 5

Ma hope o ʻekolu mau makahiki o ka hoʻomohala ʻana, ua hōʻike ʻia kahi hoʻokuʻu paʻa o ka Squid 5.1 proxy server, mākaukau no ka hoʻohana ʻana i nā ʻōnaehana hana (ua hoʻokuʻu ʻia ka 5.0.x i ke kūlana o nā mana beta). Ma hope o ka hāʻawi ʻia ʻana o ka lālā 5.x i ke kūlana kūpaʻa, mai kēia manawa e hana ʻia nā hoʻoponopono wale no nā nāwaliwali a me nā pilikia paʻa i loko, a ʻae ʻia nā optimizations liʻiliʻi. E hoʻokō ʻia ka hoʻomohala ʻana i nā hiʻohiʻona hou i ka lālā hoʻokolohua hou 6.0. Manaʻo ʻia nā mea hoʻohana o ka lālā paʻa 4.x mua e hoʻolālā e neʻe i ka lālā 5.x.

Nā mea hou nui ma Squid 5:

  • ʻO ka hoʻokō ʻana o ka ICAP (Internet Content Adaptation Protocol), i hoʻohana ʻia no ka hoʻohui ʻana me nā ʻōnaehana hōʻoia ʻike o waho, ua hoʻohui i ke kākoʻo no kahi mīkini hoʻopili data (trailer), e hiki ai iā ʻoe ke hoʻopili i nā poʻomanaʻo hou me ka metadata i ka pane, waiho ʻia ma hope o ka memo. kino (no ka laʻana, hiki iā ʻoe ke hoʻouna i kahi checksum a me nā kikoʻī e pili ana i nā pilikia i ʻike ʻia).
  • Ke hoʻihoʻi hou i nā noi, hoʻohana ʻia ka algorithm "Happy Eyeballs", e hoʻohana koke ana i ka helu IP i loaʻa, me ka kali ʻole i ka hoʻoholo ʻana i nā helu helu IPv4 a me IPv6. Ma mua o ka hoʻohana ʻana i ka "dns_v4_first" hoʻonohonoho e hoʻoholo ai inā hoʻohana ʻia kahi ʻohana helu IPv4 a IPv6 paha, ua mālama ʻia ke ʻano o ka pane DNS: inā hiki mua ka pane DNS AAAA i ke kali ʻana i kahi leka uila IP e hoʻoholo ai, a laila ka e hoʻohana ʻia ka helu IPv6. No laila, ua hana ʻia ka hoʻonohonoho ʻana i ka ʻohana helu i makemake ʻia ma ka pā ahi, DNS a i ʻole ka pae hoʻomaka me ke koho "--disable-ipv6". ʻO ka hoʻololi i manaʻo ʻia e hiki iā mākou ke wikiwiki i ka manawa hoʻonohonoho o nā pilina TCP a hōʻemi i ka hopena hana o nā lohi i ka wā o ka hoʻonā DNS.
  • No ka hoʻohana ʻana i ke kuhikuhi "external_acl", ua hoʻohui ʻia ka mea hoʻokele "ext_kerberos_sid_group_acl" no ka hōʻoia ʻana me ka nānā pū ʻana ma Active Directory me ka hoʻohana ʻana iā Kerberos. No ka nīnau ʻana i ka inoa o ka hui, e hoʻohana i ka pono ldapsearch i hāʻawi ʻia e ka pūʻolo OpenLDAP.
  • Ua hoʻopau ʻia ke kākoʻo no ka palapala Berkeley DB ma muli o nā pilikia laikini. ʻAʻole mālama ʻia ka lālā Berkeley DB 5.x no kekahi mau makahiki a noho mau me nā nāwaliwali unpatched, a ua pale ʻia ka hoʻololi ʻana i nā hoʻokuʻu hou e ka hoʻololi ʻana i ka laikini i AGPLv3, pili pū nā koi i nā noi e hoʻohana iā BerkeleyDB ma ke ʻano o kahi waihona - Hāʻawi ʻia ʻo Squid ma lalo o ka laikini GPLv2, a ʻaʻole kūpono ʻo AGPL me GPLv2. Ma kahi o Berkeley DB, ua hoʻololi ʻia ka papahana i ka hoʻohana ʻana i ka TrivialDB DBMS, ʻaʻole like me Berkeley DB, i hoʻopaʻa ʻia no ke komo like ʻana i ka waihona. Mālama ʻia ke kākoʻo Berkeley DB i kēia manawa, akā ʻo ka "ext_session_acl" a me ka "ext_time_quota_acl" mea hoʻohana i kēia manawa e paipai i ka hoʻohana ʻana i ke ʻano waihona "libtdb" ma kahi o "libdb".
  • Kākoʻo hoʻohui ʻia no ka CDN-Loop HTTP header, i wehewehe ʻia ma RFC 8586, e ʻae iā ʻoe e ʻike i nā puka lou i ka wā e hoʻohana ai i nā ʻoihana hoʻopuka maʻiʻo (e hāʻawi ke poʻo i ka pale i nā kūlana i ka wā e hoʻi ai kahi noi i ke kaʻina o ka hoʻihoʻi ʻana ma waena o nā CDN no kekahi kumu. CDN kumu, e hana ana i ka loop pau ole).
  • ʻO ka mīkini SSL-Bump, ka mea e hiki ai iā ʻoe ke ʻae i nā ʻike o nā kau HTTPS i hoʻopili ʻia, ua hoʻohui i ke kākoʻo no ka hoʻihoʻi ʻana i nā noi HTTPS spoofed (hoʻopili hou ʻia) ma o nā kikowaena proxy ʻē aʻe i kuhikuhi ʻia ma cache_peer, me ka hoʻohana ʻana i kahi tunnel maʻamau e pili ana i ke ala HTTP CONNECT ( ʻAʻole kākoʻo ʻia ka hoʻouna ʻana ma o HTTPS, ʻoiai ʻaʻole hiki i Squid ke lawe i TLS i loko o TLS). ʻAe ʻo SSL-Bump iā ʻoe e hoʻokumu i kahi pilina TLS me ka server i hoʻopaʻa ʻia ma ka loaʻa ʻana o ka noi HTTPS i hoʻopaʻa mua ʻia a loaʻa i kāna palapala hōʻoia. Ma hope o kēia, hoʻohana ʻo Squid i ka inoa hoʻokipa mai ka palapala hōʻoia maoli i loaʻa mai ka server a hana i kahi palapala dummy, kahi e hoʻohālike ai i ka server i noi ʻia i ka wā e launa pū ai me ka mea kūʻai aku, ʻoiai e hoʻomau ana i ka hoʻohana ʻana i ka pilina TLS i hoʻokumu ʻia me ka server target e loaʻa ai ka ʻikepili ( no laila ʻaʻole alakaʻi ka hoʻololi ʻana i nā ʻōlelo aʻoaʻo ma nā polokalamu kele pūnaewele ma ka ʻaoʻao o ka mea kūʻai aku, pono ʻoe e hoʻohui i kāu palapala hōʻoia i hoʻohana ʻia e hana i nā palapala hōʻoia i ka hale kūʻai palapala kumu).
  • Hoʻohui ʻia nā kuhikuhi mark_client_connection a me mark_client_pack e hoʻopaʻa i nā māka Netfilter (CONNMARK) i nā pilina TCP mea kūʻai aku a i ʻole nā ​​ʻeke pākahi.

Ma luna o ko lākou mau kuʻekuʻe wāwae, ua paʻi ʻia nā hoʻokuʻu ʻana o Squid 5.2 a me Squid 4.17, kahi i hoʻopaʻa ʻia ai nā nāwaliwali:

  • CVE-2021-28116 - Leka ʻike i ka wā e hana ai i nā memo WCCPv2 i hana kūikawā ʻia. Hāʻawi ka nāwaliwali i ka mea hoʻouka e hōʻino i ka papa inoa o nā mea hoʻokele WCCP i ʻike ʻia a hoʻihoʻi hou i nā kaʻa mai nā mea kūʻai aku proxy server i kā lākou mea hoʻokipa. Hōʻike wale ʻia ka pilikia ma nā hoʻonohonoho me ke kākoʻo WCCPv2 i hoʻohana ʻia a inā hiki ke hoʻopunipuni i ka helu IP o ka mea alalai.
  • CVE-2021-41611 - He pilikia i ka hōʻoia palapala TLS e hiki ai ke komo me ka hoʻohana ʻana i nā palapala hilinaʻi ʻole.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka