Nakon tri godine razvoja, predstavljeno je stabilno izdanje proxy servera Squid 5.1 spremno za korištenje na produkcijskim sustavima (izdanja 5.0.x su imala status beta verzije). Nakon što je grana 5.x dobila stabilan status, od sada će se u njoj raditi samo popravke za ranjivosti i probleme stabilnosti, a dopuštene su i manje optimizacije. Razvoj novih značajki provodit će se u novoj eksperimentalnoj grani 6.0. Korisnicima prethodne stabilne 4.x grane savjetuje se da planiraju prijelaz na 5.x granu.
Ključne inovacije u Squid 5:
- Implementacija ICAP-a (Internet Content Adaptation Protocol), koji se koristi za integraciju s vanjskim sustavima za provjeru sadržaja, ima dodatnu podršku za mehanizam privitka podataka (trailer), koji vam omogućuje da odgovoru priložite dodatna zaglavlja s metapodacima, postavljena nakon poruke tijelo (na primjer, možete poslati kontrolni zbroj i detalje o identificiranim problemima).
- Prilikom preusmjeravanja zahtjeva koristi se algoritam “Happy Eyeballs” koji odmah koristi primljenu IP adresu, bez čekanja da se sve potencijalno dostupne IPv4 i IPv6 ciljne adrese razriješe. Umjesto uzimanja u obzir postavke "dns_v4_first" kako bi se utvrdilo koristi li se obitelj IPv4 ili IPv6 adresa, redoslijed DNS odgovora sada se uzima u obzir: ako DNS AAAA odgovor stigne prvi kada se čeka rješavanje IP adrese, tada će se koristiti rezultirajuća IPv6 adresa. Stoga se postavljanje željene obitelji adresa sada vrši na razini vatrozida, DNS-a ili pokretanja s opcijom "--disable-ipv6". Predložena promjena omogućuje nam da ubrzamo vrijeme postavljanja TCP veza i smanjimo učinak kašnjenja tijekom rješavanja DNS-a.
- Za upotrebu u direktivi "external_acl", rukovatelj "ext_kerberos_sid_group_acl" dodan je za provjeru autentičnosti s grupnom provjerom u Active Directory-u koristeći Kerberos. Za upit o nazivu grupe upotrijebite uslužni program ldapsearch koji pruža OpenLDAP paket.
- Podrška za Berkeley DB format je obustavljena zbog problema s licenciranjem. Grana Berkeley DB 5.x nije održavana nekoliko godina i ostala je s nezakrpanim propustima, a prijelaz na novija izdanja spriječen je promjenom licence na AGPLv3, čiji se zahtjevi također odnose na aplikacije koje koriste BerkeleyDB u obliku knjižnica - Squid se isporučuje pod licencom GPLv2, a AGPL nije kompatibilan s GPLv2. Umjesto Berkeley DB-a, projekt je prebačen na korištenje TrivialDB DBMS-a, koji je za razliku od Berkeley DB-a optimiziran za istovremeni paralelni pristup bazi podataka. Podrška za Berkeley DB za sada je zadržana, ali rukovatelji "ext_session_acl" i "ext_time_quota_acl" sada preporučuju korištenje vrste pohrane "libtdb" umjesto "libdb".
- Dodana podrška za HTTP zaglavlje CDN-Loop, definirano u RFC 8586, koje vam omogućuje otkrivanje petlji pri korištenju mreža za isporuku sadržaja (zaglavlje pruža zaštitu od situacija kada se zahtjev u procesu preusmjeravanja između CDN-ova iz nekog razloga vraća natrag na originalni CDN, tvoreći beskonačnu petlju).
- Mehanizam SSL-Bump, koji vam omogućuje presretanje sadržaja šifriranih HTTPS sesija, ima dodatnu podršku za preusmjeravanje lažiranih (ponovno šifriranih) HTTPS zahtjeva preko drugih proxy poslužitelja navedenih u cache_peer, korištenjem redovnog tunela temeljenog na metodi HTTP CONNECT ( prijenos putem HTTPS-a nije podržan jer Squid još ne može prenositi TLS unutar TLS-a). SSL-Bump vam omogućuje uspostavljanje TLS veze s ciljnim poslužiteljem po primitku prvog presretnutog HTTPS zahtjeva i dobivanje njegovog certifikata. Nakon toga, Squid koristi ime hosta iz stvarnog certifikata primljenog od poslužitelja i stvara lažni certifikat, s kojim oponaša traženi poslužitelj u interakciji s klijentom, dok nastavlja koristiti TLS vezu uspostavljenu s ciljnim poslužiteljem za primanje podataka ( kako zamjena ne bi dovela do izlaznih upozorenja u preglednicima na strani klijenta, trebate dodati svoj certifikat koji se koristi za generiranje fiktivnih certifikata u pohranu korijenskih certifikata).
- Dodane direktive mark_client_connection i mark_client_pack za vezanje oznaka Netfilter (CONNMARK) na TCP veze klijenta ili pojedinačne pakete.
Za petama su im objavljena izdanja Squid 5.2 i Squid 4.17 u kojima su popravljene ranjivosti:
- CVE-2021-28116 - Curenje informacija prilikom obrade posebno kreiranih WCCPv2 poruka. Ranjivost omogućuje napadaču da ošteti popis poznatih WCCP usmjerivača i preusmjeri promet s klijenata proxy poslužitelja na njihov host. Problem se pojavljuje samo u konfiguracijama s uključenom podrškom za WCCPv2 i kada je moguće lažirati IP adresu usmjerivača.
- CVE-2021-41611 - Problem u provjeri TLS certifikata dopušta pristup korištenjem nepouzdanih certifikata.
Izvor: opennet.ru