Երեք տարվա մշակումից հետո ներկայացվել է Squid 5.1 պրոքսի սերվերի կայուն թողարկումը, որը պատրաստ է օգտագործման համար արտադրական համակարգերում (5.0.x թողարկումներն ունեին բետա տարբերակների կարգավիճակ): Այն բանից հետո, երբ 5.x ճյուղը ստաբիլ կարգավիճակ կստանա, այսուհետ նրանում կիրականացվեն միայն խոցելիության և կայունության խնդիրների շտկումներ, ինչպես նաև թույլատրվում են փոքր օպտիմալացումներ։ Նոր առանձնահատկությունների մշակումը կիրականացվի նոր փորձնական մասնաճյուղում 6.0: Նախորդ կայուն 4.x մասնաճյուղի օգտատերերին խորհուրդ է տրվում ծրագրել տեղափոխել 5.x մասնաճյուղ:
Squid 5-ի հիմնական նորամուծությունները.
- ICAP-ի (Internet Content Adaptation Protocol), որն օգտագործվում է արտաքին բովանդակության ստուգման համակարգերի հետ ինտեգրվելու համար, ավելացրել է տվյալների կցման մեխանիզմի (թրեյլերի) աջակցությունը, որը թույլ է տալիս լրացուցիչ վերնագրեր կցել մետատվյալներով պատասխանին, որը տեղադրված է հաղորդագրությունից հետո: մարմին (օրինակ, կարող եք ուղարկել ստուգիչ գումար և մանրամասներ հայտնաբերված խնդիրների մասին):
- Հարցումները վերահղելիս օգտագործվում է «Happy Eyeballs» ալգորիթմը, որն անմիջապես օգտագործում է ստացված IP հասցեն՝ չսպասելով, որ բոլոր հնարավոր հասանելի IPv4 և IPv6 թիրախային հասցեները լուծվեն: Փոխանակ հաշվի առնելու «dns_v4_first» պարամետրը՝ որոշելու, թե արդյոք օգտագործվում է IPv4 կամ IPv6 հասցեների ընտանիք, այժմ հաշվի է առնվում DNS պատասխանի հերթականությունը. այնուհետև կօգտագործվի ստացված IPv6 հասցեն: Այսպիսով, նախընտրելի հասցեների ընտանիքի կարգավորումն այժմ կատարվում է firewall-ի, DNS-ի կամ գործարկման մակարդակում՝ «--disable-ipv6» տարբերակով: Առաջարկվող փոփոխությունը թույլ է տալիս մեզ արագացնել TCP կապերի տեղադրման ժամանակը և նվազեցնել DNS-ի լուծման ժամանակ ուշացումների կատարողականի ազդեցությունը:
- «external_acl» հրահանգում օգտագործելու համար «ext_kerberos_sid_group_acl» մշակիչն ավելացվել է վավերացման համար Active Directory-ում խմբային ստուգման միջոցով Kerberos-ի միջոցով: Խմբի անունը հարցնելու համար օգտագործեք OpenLDAP փաթեթի կողմից տրամադրված ldapsearch օգտակար ծրագիրը:
- Բերքլիի DB ձևաչափի աջակցությունը հնացել է արտոնագրման հետ կապված խնդիրների պատճառով: Berkeley DB 5.x մասնաճյուղը չի պահպանվել մի քանի տարի և մնում է չփակված խոցելիություններով, և անցումը նոր թողարկումներին կանխվում է AGPLv3-ի լիցենզիայի փոփոխությամբ, որի պահանջները կիրառվում են նաև BerkeleyDB-ի տեսքով օգտագործող հավելվածների նկատմամբ: գրադարան - Squid-ը տրամադրվում է GPLv2 լիցենզիայի ներքո, և AGPL-ը համատեղելի չէ GPLv2-ի հետ: Berkeley DB-ի փոխարեն նախագիծը փոխանցվեց TrivialDB DBMS-ի օգտագործմանը, որը, ի տարբերություն Berkeley DB-ի, օպտիմիզացված է տվյալների բազայի միաժամանակյա զուգահեռ մուտքի համար: Berkeley DB-ի աջակցությունն առայժմ պահպանվում է, սակայն «ext_session_acl» և «ext_time_quota_acl» մշակողները այժմ խորհուրդ են տալիս օգտագործել «libtdb» պահեստավորման տեսակը «libdb»-ի փոխարեն:
- Ավելացվել է RFC 8586-ում սահմանված CDN-Loop HTTP վերնագրի աջակցությունը, որը թույլ է տալիս հայտնաբերել հանգույցներ բովանդակության առաքման ցանցերից օգտվելիս (վերնագիրն ապահովում է պաշտպանություն այն իրավիճակներից, երբ հարցումը CDN-ների միջև վերահղման գործընթացում ինչ-ինչ պատճառներով վերադառնում է դեպի բնօրինակ CDN՝ ձևավորելով անվերջ օղակ):
- SSL-Bump մեխանիզմը, որը թույլ է տալիս գաղտնալսել գաղտնագրված HTTPS նիստերի բովանդակությունը, ավելացրել է աջակցություն՝ կեղծված (վերագաղտնագրված) HTTPS հարցումները cache_peer-ում նշված այլ պրոքսի սերվերների միջոցով վերահղելու համար՝ օգտագործելով HTTP CONNECT մեթոդի վրա հիմնված սովորական թունել ( HTTPS-ի միջոցով փոխանցումը չի ապահովվում, քանի որ Squid-ը դեռ չի կարող TLS տեղափոխել TLS-ի շրջանակներում): SSL-Bump-ը թույլ է տալիս Ձեզ ստեղծել TLS կապ թիրախային սերվերի հետ առաջին գաղտնալսված HTTPS հարցումը ստանալուց հետո և ստանալ դրա վկայականը: Դրանից հետո Squid-ն օգտագործում է սերվերից ստացված իրական վկայականից ստացված հոսթի անունը և ստեղծում է կեղծ վկայական, որով հաճախորդի հետ շփվելիս ընդօրինակում է պահանջվող սերվերին, մինչդեռ շարունակում է օգտագործել թիրախային սերվերի հետ հաստատված TLS կապը՝ տվյալներ ստանալու համար ( Որպեսզի փոխարինումը չհանգեցնի ելքային նախազգուշացումներին հաճախորդի կողմից բրաուզերներում, դուք պետք է ավելացնեք ձեր վկայականը, որն օգտագործվում է ֆիկտիվ վկայագրեր ստեղծելու համար արմատային վկայականների պահեստում):
- Ավելացվել են mark_client_connection և mark_client_pack հրահանգները՝ Netfilter-ի նշանները (CONNMARK) հաճախորդի TCP կապերին կամ առանձին փաթեթներին կապելու համար:
Հրապարակվել են Squid 5.2-ի և Squid 4.17-ի թողարկումները, որոնցում վերացվել են խոցելիությունները.
- CVE-2021-28116 - Տեղեկատվության արտահոսք հատուկ մշակված WCCPv2 հաղորդագրությունները մշակելիս: Խոցելիությունը հարձակվողին թույլ է տալիս փչացնել հայտնի WCCP երթուղիչների ցանկը և վերահղել տրաֆիկը պրոքսի սերվերի հաճախորդներից դեպի իրենց հոսթ: Խնդիրն ի հայտ է գալիս միայն այն կոնֆիգուրացիաներում, որոնցում միացված է WCCPv2 աջակցությունը, և երբ հնարավոր է կեղծել երթուղիչի IP հասցեն:
- CVE-2021-41611 - TLS վկայագրի ստուգման հետ կապված խնդիրը թույլ է տալիս մուտք գործել անվստահելի վկայագրերի միջոցով:
Source: opennet.ru