Eftir þriggja ára þróun hefur stöðug útgáfa af Squid 5.1 proxy-þjóninum verið kynnt, tilbúin til notkunar á framleiðslukerfum (útgáfur 5.0.x höfðu stöðu beta útgáfur). Eftir að 5.x útibúið hefur fengið stöðuga stöðu, verða héðan í frá aðeins lagfærðar á veikleikum og stöðugleikavandamálum í henni, auk þess sem minniháttar hagræðingar eru leyfðar. Þróun nýrra eiginleika mun fara fram í nýju tilraunagrein 6.0. Notendum fyrri stöðugu 4.x útibúsins er bent á að skipuleggja að flytja til 5.x útibúsins.
Helstu nýjungar í Squid 5:
- Innleiðing ICAP (Internet Content Adaptation Protocol), sem notuð er til samþættingar við ytri efnissannprófunarkerfi, hefur bætt við stuðningi við gagnaviðhengiskerfi (kerru), sem gerir þér kleift að hengja viðbótarhausa með lýsigögnum við svarið, settir á eftir skilaboðunum meginmáli (til dæmis geturðu sent tékksummu og upplýsingar um vandamálin sem bent er á).
- Þegar beiðnum er beint áfram er „Happy Eyeballs“ reikniritið notað, sem notar strax móttekna IP tölu, án þess að bíða eftir að öll hugsanlega tiltæk IPv4 og IPv6 markvistföng verði leyst. Í stað þess að nota "dns_v4_first" stillinguna til að ákvarða hvort IPv4 eða IPv6 vistfangafjölskylda sé notuð, er röð DNS svarsins tekin með í reikninginn: ef DNS AAAA svarið berst fyrst þegar beðið er eftir að IP tölu leysist, þá IPv6 vistfang sem myndast verður notað. Þannig að stilla valinn heimilisfang fjölskyldu er nú gert á eldvegg, DNS eða ræsingarstigi með „--disable-ipv6“ valkostinum. Breytingin sem lögð er til gerir okkur kleift að flýta fyrir uppsetningartíma TCP tenginga og draga úr afköstum tafa á meðan DNS upplausn stendur yfir.
- Til notkunar í „external_acl“ tilskipuninni hefur „ext_kerberos_sid_group_acl“ meðhöndluninni verið bætt við til auðkenningar með hópathugun í Active Directory með Kerberos. Til að spyrjast fyrir um nafn hópsins, notaðu ldapsearch tólið sem OpenLDAP pakkann býður upp á.
- Stuðningur við Berkeley DB sniðið hefur verið úreltur vegna leyfisvandamála. Berkeley DB 5.x útibúinu hefur ekki verið viðhaldið í nokkur ár og er enn með óuppfærða veikleika, og umskipti yfir í nýrri útgáfur er komið í veg fyrir með leyfisbreytingu á AGPLv3, en kröfurnar gilda einnig um forrit sem nota BerkeleyDB í formi bókasafn - Smokkfiskur er útvegaður undir GPLv2 leyfinu og AGPL er ekki samhæft við GPLv2. Í stað Berkeley DB var verkefnið flutt yfir í notkun TrivialDB DBMS, sem, ólíkt Berkeley DB, er fínstillt fyrir samtímis samhliða aðgang að gagnagrunninum. Berkeley DB stuðningi er haldið í bili, en „ext_session_acl“ og „ext_time_quota_acl“ meðhöndlarar mæla nú með því að nota „libtdb“ geymslugerðina í stað „libdb“.
- Bætti við stuðningi við CDN-Loop HTTP hausinn, skilgreindan í RFC 8586, sem gerir þér kleift að greina lykkjur þegar þú notar efnisafhendingarnet (hausinn veitir vörn gegn aðstæðum þegar beiðni í því ferli að beina milli CDNs af einhverjum ástæðum skilar sér aftur til upprunalega CDN, myndar endalausa lykkju).
- SSL-Bump vélbúnaðurinn, sem gerir þér kleift að stöðva innihald dulkóðaðra HTTPS funda, hefur bætt við stuðningi við að beina sviknum (endurdulkóðuðum) HTTPS beiðnum í gegnum aðra proxy netþjóna sem tilgreindir eru í cache_peer, með venjulegum göngum sem byggjast á HTTP CONNECT aðferðinni ( sending í gegnum HTTPS er ekki studd, þar sem Squid getur ekki enn flutt TLS innan TLS). SSL-Bump gerir þér kleift að koma á TLS-tengingu við markþjóninn við móttöku fyrstu HTTPS-beiðnarinnar sem hlerað er og fá vottorð þess. Eftir þetta notar Squid hýsingarheitið frá raunverulegu vottorðinu sem er móttekið frá þjóninum og býr til dummy vottorð, sem það líkir eftir umbeðnum þjóni þegar hann hefur samskipti við viðskiptavininn, en heldur áfram að nota TLS tenginguna sem komið var á við markþjóninn til að taka á móti gögnum ( svo að skiptingin leiði ekki til úttaksviðvarana í vöfrum á biðlarahlið þarftu að bæta skírteininu þínu sem notað er til að búa til sýndarvottorð í rótarvottorðsgeymsluna).
- Bætti við mark_client_connection og mark_client_pack tilskipunum til að binda Netfilter merki (CONNMARK) við TCP tengingar viðskiptavinar eða einstaka pakka.
Heitt á hæla þeirra voru útgáfur af Squid 5.2 og Squid 4.17 birtar, þar sem veikleikarnir voru lagaðir:
- CVE-2021-28116 - Upplýsingaleki þegar unnið er með sérútbúnum WCCPv2 skilaboðum. Varnarleysið gerir árásarmanni kleift að skemma lista yfir þekkta WCCP beina og beina umferð frá proxy-þjónum til hýsilsins. Vandamálið birtist aðeins í stillingum þar sem WCCPv2 stuðningur er virkur og þegar hægt er að spilla IP tölu beinisins.
- CVE-2021-41611 - Vandamál í TLS vottorðastaðfestingu gerir aðgang að ótraustum vottorðum.
Heimild: opennet.ru