ProHoster > בלוג > חדשות באינטרנט > מהדורה יציבה של שרת ה-proxy Squid 5

מהדורה יציבה של שרת ה-proxy Squid 5

לאחר שלוש שנים של פיתוח, הוצגה מהדורה יציבה של שרת ה-Proxy Squid 5.1, מוכנה לשימוש במערכות ייצור (גרסאות 5.0.x היו בסטטוס של גרסאות בטא). לאחר שענף 5.x קיבל סטטוס יציב, מעתה ואילך יבוצעו בו רק תיקונים לפרצות ובעיות יציבות, ומאפשרות גם אופטימיזציות קלות. פיתוח תכונות חדשות יתבצע בענף הניסוי החדש 6.0. למשתמשים בסניף היציב הקודם של 4.x מומלץ לתכנן מעבר לסניף 5.x.

חידושים מרכזיים ב-Squid 5:

  • הטמעת ה-ICAP (Internet Content Adaptation Protocol), המשמש לאינטגרציה עם מערכות אימות תוכן חיצוניות, הוסיפה תמיכה במנגנון צירוף נתונים (טריילר), המאפשר לצרף כותרות נוספות עם מטא נתונים לתגובה, המוצבות לאחר ההודעה body (לדוגמה, אתה יכול לשלוח סכום בדיקה ופרטים על הבעיות שזוהו).
  • בעת ניתוב מחדש של בקשות, נעשה שימוש באלגוריתם "Happy Eyeballs", אשר משתמש באופן מיידי בכתובת ה-IP שהתקבלה מבלי להמתין לכל כתובות היעד הפוטנציאליות הזמינות של IPv4 ו-IPv6 שיטופלו. במקום להשתמש בהגדרה "dns_v4_first" כדי לקבוע את הסדר שבו יש להשתמש במשפחת כתובות ה-IPv4 או ה-IPv6, סדר תגובת ה-DNS נלקח כעת בחשבון: אם, בזמן ההמתנה לפתרון, כתובות IP אם מתקבלת תגובת DNS AAAA הראשונה, ייעשה שימוש בכתובת ה-IPv6 המתקבלת. לכן, הגדרת משפחת הכתובות המועדפת מתבצעת כעת ברמת חומת האש, ה-DNS או האתחול באמצעות האפשרות "--disable-ipv6". שינוי מוצע זה משפר את זמני הגדרת חיבור TCP ומפחית את ההשפעה של השהיית פתרון DNS על הביצועים.
  • לשימוש בהנחיית "external_acl", המטפל "ext_kerberos_sid_group_acl" נוסף לצורך אימות עם בדיקה קבוצתית ב-Active Directory באמצעות Kerberos. כדי לשאול את שם הקבוצה, השתמש בכלי השירות ldapsearch המסופק על ידי חבילת OpenLDAP.
  • התמיכה בפורמט Berkeley DB הוצאה משימוש עקב בעיות רישוי. סניף Berkeley DB 5.x אינו מתוחזק במשך מספר שנים ונשאר עם נקודות תורפה ללא תיקון, והמעבר למהדורות חדשות יותר נמנע על ידי שינוי רישיון ל-AGPLv3, שדרישותיו חלות גם על אפליקציות המשתמשות ב-BerkeleyDB בצורה של ספרייה - Squid מסופק תחת רישיון GPLv2, ו-AGPL אינו תואם ל-GPLv2. במקום Berkeley DB, הפרויקט הועבר לשימוש ב-TrivialDB DBMS, שבניגוד ל-Berkeley DB, מותאם לגישה מקבילה סימולטנית למסד הנתונים. התמיכה ב-Berkeley DB נשמרת לעת עתה, אך המטפלים "ext_session_acl" ו-"ext_time_quota_acl" ממליצים כעת להשתמש בסוג האחסון "libtdb" במקום "libdb".
  • נוספה תמיכה בכותרת CDN-Loop HTTP, המוגדרת ב-RFC 8586, המאפשרת לך לזהות לולאות בעת שימוש ברשתות אספקת תוכן (הכותרת מספקת הגנה מפני מצבים שבהם בקשה בתהליך של הפנייה בין CDN מסיבה כלשהי חוזרת חזרה ל- CDN מקורי, יוצר לולאה אינסופית).
  • מנגנון SSL-Bump, המאפשר ליירט את התוכן של הפעלות HTTPS מוצפנות, הוסיף תמיכה להפניה מחדש של בקשות HTTPS מזויפות (מוצפנות מחדש) דרך שרתי פרוקסי אחרים המצוינים ב-cache_peer, באמצעות מנהרה רגילה המבוססת על שיטת HTTP CONNECT ( שידור באמצעות HTTPS אינו נתמך, מכיוון ש-Squid עדיין אינו יכול להעביר TLS בתוך TLS). SSL-Bump מאפשר לך ליצור חיבור TLS עם שרת היעד עם קבלת בקשת ה-HTPS הראשונה שיירטו ולקבל את האישור שלו. לאחר מכן, Squid משתמש בשם המארח מהתעודה האמיתית שהתקבלה מהשרת ויוצר תעודת דמה, שאיתה הוא מחקה את השרת המבוקש בעת אינטראקציה עם הלקוח, תוך שהוא ממשיך להשתמש בחיבור TLS שנוצר עם שרת היעד כדי לקבל נתונים ( כדי שההחלפה לא תוביל לאזהרות הפלט בדפדפנים בצד הלקוח, עליך להוסיף את האישור שלך המשמש להפקת אישורים פיקטיביים למאגר תעודות השורש).
  • נוספו הנחיות mark_client_connection ו-mark_client_pack כדי לאגד סימני Netfilter (CONNMARK) לחיבורי TCP של הלקוח או מנות בודדות.

חמות על עקבותיהם, פורסמו הגרסאות של Squid 5.2 ו- Squid 4.17, בהן תוקנו הפגיעויות:

  • CVE-2021-28116 - דליפת מידע בעת עיבוד הודעות WCCPv2 בעלי מבנה מיוחד. הפגיעות מאפשרת לתוקף להשחית את רשימת הנתבים הידועים של WCCP ולהפנות תעבורה מלקוחות שרת פרוקסי אל המארח שלהם. הבעיה מופיעה רק בתצורות עם תמיכה ב-WCCPv2 מופעלת וכאשר ניתן לזייף את כתובת ה-IP של הנתב.
  • CVE-2021-41611 - שגיאת אימות אישורי TLS, המאפשר גישה באמצעות אישורים לא מהימנים.

מקור: OpenNet.ru

קנה אירוח אמין לאתרים עם הגנת DDoS, שרתי VPS VDS 🔥 קנה אחסון אתרים אמין עם הגנת DDoS, שרתי VPS VDS | ProHoster