Apre twa ane nan devlopman, yo te prezante yon lage ki estab nan sèvè proxy Squid 5.1, pare pou itilize sou sistèm pwodiksyon (version 5.0.x te gen estati vèsyon beta). Apre yo fin bay branch 5.x la yon estati ki estab, depi kounye a sèlman fikse pou frajilite ak pwoblèm estabilite yo pral fè nan li, ak optimize minè yo pèmèt tou. Devlopman nan nouvo karakteristik yo pral te pote soti nan nouvo branch eksperimantal 6.0 la. Itilizatè yo nan branch 4.x ki estab anvan an yo konseye pou planifye pou imigre nan branch 5.x la.
Inovasyon kle nan Squid 5:
- Aplikasyon ICAP (Protokòl Adaptasyon kontni Entènèt la), ki itilize pou entegrasyon ak sistèm verifikasyon kontni ekstèn, te ajoute sipò pou yon mekanis atachman done (trelè), ki pèmèt ou tache tèt adisyonèl ak metadata nan repons lan, mete apre mesaj la. kò (pa egzanp, ou ka voye yon checksum ak detay sou pwoblèm yo idantifye).
- Lè redireksyon demann yo, yo itilize algorithm "Happy Eyeballs", ki imedyatman itilize adrès IP resevwa a, san yo pa tann pou tout adrès sib IPv4 ak IPv6 ki kapab disponib pou rezoud. Olye pou w pran an konsiderasyon paramèt "dns_v4_first" pou detèmine si yo itilize yon fanmi adrès IPv4 oswa IPv6, kounye a se lòd repons DNS la pran an kont: si repons DNS AAAA a rive an premye lè w ap tann yon adrès IP rezoud, Lè sa a, adrès IPv6 ki kapab lakòz yo pral itilize. Kidonk, mete fanmi adrès pi pito a kounye a fè nan firewall, DNS oswa nivo demaraj ak opsyon "--disable-ipv6". Chanjman ki pwopoze a pèmèt nou akselere tan konfigirasyon koneksyon TCP yo epi redwi enpak pèfòmans reta pandan rezolisyon DNS.
- Pou itilize nan direktiv "external_acl" la, yo te ajoute moun kap okipe "ext_kerberos_sid_group_acl" pou otantifikasyon ak tcheke gwoup nan Active Directory lè l sèvi avèk Kerberos. Pou mande non gwoup la, sèvi ak sèvis piblik ldapsearch ki ofri pa pakè OpenLDAP la.
- Sipò pou fòma Berkeley DB yo te obsolèt akòz pwoblèm lisans. Branch Berkeley DB 5.x la pa te konsève pou plizyè ane epi li rete ak frajilite ki pa patched, epi tranzisyon an nan nouvo degaje yo anpeche pa yon chanjman lisans nan AGPLv3, kondisyon ki aplike tou pou aplikasyon ki itilize BerkeleyDB nan fòm lan. yon bibliyotèk - Squid apwovizyone anba lisans GPLv2, epi AGPL pa konpatib ak GPLv2. Olye pou Berkeley DB, pwojè a te transfere nan itilizasyon TrivialDB DBMS, ki, kontrèman ak Berkeley DB, optimize pou aksè similtane paralèl nan baz done a. Yo kenbe sipò Berkeley DB pou kounye a, men moun k ap okipe "ext_session_acl" ak "ext_time_quota_acl" kounye a rekòmande pou itilize kalite depo "libtdb" olye de "libdb".
- Te ajoute sipò pou CDN-Loop HTTP header, ki defini nan RFC 8586, ki pèmèt ou detekte bouk lè w ap itilize rezo livrezon kontni (tèt la bay pwoteksyon kont sitiyasyon lè yon demann nan pwosesis redireksyon ant CDN pou kèk rezon retounen nan orijinal CDN, fòme yon bouk kontinuèl).
- Mekanis SSL-Bump la, ki pèmèt ou entèsepte sa ki nan sesyon HTTPS ki ankripte yo, te ajoute sipò pou redireksyon demann HTTPS ki padone (re-chiffre) atravè lòt sèvè proxy ki espesifye nan cache_peer, lè l sèvi avèk yon tinèl regilye ki baze sou metòd HTTP CONNECT ( transmisyon atravè HTTPS pa sipòte, paske Squid pa kapab ankò transpòte TLS nan TLS). SSL-Bump pèmèt ou etabli yon koneksyon TLS ak sèvè sib la lè w resevwa premye demann HTTPS entèsepte a epi jwenn sètifika li a. Apre sa, Squid sèvi ak non host la soti nan sètifika reyèl la resevwa nan men sèvè a ak kreye yon sètifika enbesil, ak ki li imite sèvè a mande lè yo kominike avèk kliyan an, pandan y ap kontinye sèvi ak koneksyon an TLS etabli ak sèvè a sib yo resevwa done ( pou ke sibstitisyon an pa mennen nan avètisman yo pwodiksyon nan navigatè sou bò kliyan an, ou bezwen ajoute sètifika ou itilize pou jenere sètifika fiktif nan magazen an sètifika rasin).
- Te ajoute direktiv mark_client_connection ak mark_client_pack pou mare mak Netfilter (CONNMARK) ak koneksyon TCP kliyan oswa pake endividyèl yo.
Cho sou talon yo, degaje yo nan Squid 5.2 ak Squid 4.17 yo te pibliye, nan ki frajilite yo te fiks:
- CVE-2021-28116 - Flit enfòmasyon lè w ap trete mesaj WCCPv2 ki fèt espesyalman. Vilnerabilite a pèmèt yon atakè koripsyon lis routeurs WCCP li te ye ak redireksyon trafik soti nan kliyan sèvè prokurasyon nan lame yo. Pwoblèm nan parèt sèlman nan konfigirasyon ak sipò WCCPv2 aktive epi lè li posib pou spoof adrès IP routeur la.
- CVE-2021-41611 - Yon pwoblèm nan verifikasyon sètifika TLS pèmèt aksè lè l sèvi avèk sètifika ki pa fè konfyans.
Sous: opennet.ru