Három év fejlesztés után bemutatták a Squid 5.1 proxy szerver stabil kiadását, amely készen áll az éles rendszereken való használatra (az 5.0.x kiadások béta verziójúak voltak). Miután az 5.x-es ág stabil státuszt kapott, ezentúl csak a sebezhetőségek és stabilitási problémák javítását végzik el benne, illetve kisebb optimalizálás is megengedett. Az új funkciók fejlesztése az új 6.0 kísérleti ágban történik. A korábbi stabil 4.x ág felhasználóinak azt tanácsoljuk, hogy tervezzék meg az 5.x ágra való átállást.
A Squid 5 legfontosabb újításai:
- A külső tartalomellenőrző rendszerekkel való integrációhoz használt ICAP (Internet Content Adaptation Protocol) megvalósítása egy adatcsatolási mechanizmus (trailer) támogatásával bővült, amely lehetővé teszi további metaadatokkal ellátott fejlécek csatolását a válaszhoz, az üzenet után. törzs (például küldhet ellenőrző összeget és részleteket az azonosított problémákról).
- A kérések átirányításánál a „Happy Eyeballs” algoritmust használjuk, amely azonnal felhasználja a kapott IP-címet, anélkül, hogy megvárná az összes potenciálisan elérhető IPv4 és IPv6 célcím feloldását. Ahelyett, hogy a "dns_v4_first" beállítást használná annak meghatározására, hogy IPv4 vagy IPv6 címcsaládot használnak-e, a DNS-válasz sorrendjét veszi figyelembe a rendszer: ha a DNS AAAA válasz érkezik először, amikor egy IP-cím megoldására vár, akkor a az eredményül kapott IPv6-cím kerül felhasználásra. Így a preferált címcsalád beállítása most már a tűzfal, a DNS vagy az indítási szinten történik a „--disable-ipv6” opcióval. A javasolt változtatás lehetővé teszi számunkra, hogy felgyorsítsuk a TCP-kapcsolatok beállítási idejét, és csökkentsük a DNS-feloldás során jelentkező késések teljesítményre gyakorolt hatását.
- Az "external_acl" direktívában való használathoz az "ext_kerberos_sid_group_acl" kezelő került hozzáadásra az Active Directory Kerberos használatával végzett csoportellenőrzéssel történő hitelesítéshez. A csoport nevének lekérdezéséhez használja az OpenLDAP csomag által biztosított ldapsearch segédprogramot.
- A Berkeley DB formátum támogatása a licencelési problémák miatt megszűnt. A Berkeley DB 5.x ágat évek óta nem karbantartják, és továbbra is javítatlan sebezhetőségekkel rendelkezik, az újabb kiadásokra való átállást pedig az AGPLv3-ra történő licencváltás akadályozza meg, amelynek követelményei a BerkeleyDB-t használó alkalmazásokra is vonatkoznak. könyvtár – A Squid a GPLv2 licenc alatt kerül forgalomba, és az AGPL nem kompatibilis a GPLv2-vel. A Berkeley DB helyett a projekt átkerült a TrivialDB DBMS használatába, amely a Berkeley DB-vel ellentétben az adatbázis egyidejű párhuzamos elérésére van optimalizálva. A Berkeley DB támogatás egyelőre megmarad, de az "ext_session_acl" és "ext_time_quota_acl" kezelők mostantól a "libtdb" tárolótípus használatát javasolják a "libdb" helyett.
- Hozzáadott támogatás az RFC 8586-ban definiált CDN-Loop HTTP fejléchez, amely lehetővé teszi a hurkok észlelését tartalomszolgáltató hálózatok használatakor (a fejléc védelmet nyújt olyan helyzetek ellen, amikor a CDN-ek közötti átirányítási folyamatban lévő kérés valamilyen okból visszatér a eredeti CDN, amely egy végtelen hurkot képez ).
- Az SSL-Bump mechanizmus, amely lehetővé teszi a titkosított HTTPS-munkamenetek tartalmának lehallgatását, kiegészítette a hamisított (újratitkosított) HTTPS-kérelmek átirányítását a cache_peer paraméterben megadott más proxyszervereken keresztül, a HTTP CONNECT metóduson alapuló normál alagút használatával ( a HTTPS-en keresztüli átvitel nem támogatott, mivel a Squid még nem tud TLS-t szállítani a TLS-en belül). Az SSL-Bump lehetővé teszi, hogy az első elfogott HTTPS-kérés kézhezvételekor TLS-kapcsolatot létesítsen a célkiszolgálóval, és megszerezze a tanúsítványát. Ezt követően a Squid a szervertől kapott valódi tanúsítványból származó gazdagépnevet használja, és létrehoz egy áltanúsítványt, amellyel a klienssel való interakció során a kért szervert utánozza, miközben továbbra is a célszerverrel létrehozott TLS kapcsolatot használja az adatok fogadására ( hogy a helyettesítés ne vezessen kimeneti figyelmeztetésekhez a böngészőkben az ügyféloldalon, hozzá kell adnia a fiktív tanúsítványok generálásához használt tanúsítványt a gyökértanúsítvány-tárolóhoz).
- Mark_client_connection és mark_client_pack direktívák hozzáadása a Netfilter jelek (CONNMARK) kliens TCP-kapcsolatokhoz vagy egyedi csomagokhoz való kötéséhez.
A nyomukban megjelent a Squid 5.2 és Squid 4.17 kiadása, amelyben a sebezhetőségeket javították:
- CVE-2021-28116 – Információszivárgás speciálisan kialakított WCCPv2 üzenetek feldolgozása során. A biztonsági rés lehetővé teszi a támadók számára, hogy megrongálják az ismert WCCP-útválasztók listáját, és átirányítsák a forgalmat a proxykiszolgáló-kliensekről a gazdagépre. A probléma csak azokban a konfigurációkban jelentkezik, amelyeknél engedélyezve van a WCCPv2 támogatás, és ha lehetséges az útválasztó IP-címének meghamisítása.
- CVE-2021-41611 – A TLS-tanúsítvány-ellenőrzéssel kapcsolatos probléma lehetővé teszi a hozzáférést nem megbízható tanúsítványok használatával.
Forrás: opennet.ru