🥇מהדורה יציבה של שרת פרוקסי Squid 5

לאחר שלוש שנים של פיתוח, הוצגה מהדורה יציבה של שרת ה-Proxy Squid 5.1, מוכנה לשימוש במערכות ייצור (גרסאות 5.0.x היו בסטטוס של גרסאות בטא). לאחר שענף 5.x קיבל סטטוס יציב, מעתה ואילך יבוצעו בו רק תיקונים לפרצות ובעיות יציבות, ומאפשרות גם אופטימיזציות קלות. פיתוח תכונות חדשות יתבצע בענף הניסוי החדש 6.0. למשתמשים בסניף היציב הקודם של 4.x מומלץ לתכנן מעבר לסניף 5.x.

חידושים מרכזיים ב-Squid 5:

הטמעת ה-ICAP (Internet Content Adaptation Protocol), המשמש לאינטגרציה עם מערכות אימות תוכן חיצוניות, הוסיפה תמיכה במנגנון צירוף נתונים (טריילר), המאפשר לצרף כותרות נוספות עם מטא נתונים לתגובה, המוצבות לאחר ההודעה body (לדוגמה, אתה יכול לשלוח סכום בדיקה ופרטים על הבעיות שזוהו).
בעת הפניית בקשות, נעשה שימוש באלגוריתם "Happy Eyeballs", אשר משתמש באופן מיידי בכתובת ה-IP המתקבלת, מבלי להמתין לפתרון כל כתובות היעד הפוטנציאליות של IPv4 ו-IPv6. במקום להשתמש בהגדרה "dns_v4_first" כדי לקבוע אם נעשה שימוש במשפחת כתובות IPv4 או IPv6, סדר תגובת ה-DNS נלקח כעת בחשבון: אם תגובת ה-DNS AAAA מגיעה ראשונה כאשר ממתינים לפתרון כתובת IP, אזי ייעשה שימוש בכתובת IPv6 שהתקבלה. לפיכך, הגדרת משפחת הכתובות המועדפת מתבצעת כעת ברמת חומת האש, ה-DNS או ההפעלה עם האפשרות "--disable-ipv6". השינוי המוצע מאפשר לנו להאיץ את זמן ההגדרה של חיבורי TCP ולהפחית את השפעת הביצועים של עיכובים במהלך פתרון DNS.
לשימוש בהנחיית "external_acl", המטפל "ext_kerberos_sid_group_acl" נוסף לצורך אימות עם בדיקה קבוצתית ב-Active Directory באמצעות Kerberos. כדי לשאול את שם הקבוצה, השתמש בכלי השירות ldapsearch המסופק על ידי חבילת OpenLDAP.
התמיכה בפורמט Berkeley DB הוצאה משימוש עקב בעיות רישוי. סניף Berkeley DB 5.x אינו מתוחזק במשך מספר שנים ונשאר עם נקודות תורפה ללא תיקון, והמעבר למהדורות חדשות יותר נמנע על ידי שינוי רישיון ל-AGPLv3, שדרישותיו חלות גם על אפליקציות המשתמשות ב-BerkeleyDB בצורה של ספרייה - Squid מסופק תחת רישיון GPLv2, ו-AGPL אינו תואם ל-GPLv2. במקום Berkeley DB, הפרויקט הועבר לשימוש ב-TrivialDB DBMS, שבניגוד ל-Berkeley DB, מותאם לגישה מקבילה סימולטנית למסד הנתונים. התמיכה ב-Berkeley DB נשמרת לעת עתה, אך המטפלים "ext_session_acl" ו-"ext_time_quota_acl" ממליצים כעת להשתמש בסוג האחסון "libtdb" במקום "libdb".
נוספה תמיכה בכותרת CDN-Loop HTTP, המוגדרת ב-RFC 8586, המאפשרת לך לזהות לולאות בעת שימוש ברשתות אספקת תוכן (הכותרת מספקת הגנה מפני מצבים שבהם בקשה בתהליך של הפנייה בין CDN מסיבה כלשהי חוזרת חזרה ל- CDN מקורי, יוצר לולאה אינסופית).
מנגנון SSL-Bump, המאפשר ליירט את התוכן של הפעלות HTTPS מוצפנות, הוסיף תמיכה להפניה מחדש של בקשות HTTPS מזויפות (מוצפנות מחדש) דרך שרתי פרוקסי אחרים המצוינים ב-cache_peer, באמצעות מנהרה רגילה המבוססת על שיטת HTTP CONNECT ( שידור באמצעות HTTPS אינו נתמך, מכיוון ש-Squid עדיין אינו יכול להעביר TLS בתוך TLS). SSL-Bump מאפשר לך ליצור חיבור TLS עם שרת היעד עם קבלת בקשת ה-HTPS הראשונה שיירטו ולקבל את האישור שלו. לאחר מכן, Squid משתמש בשם המארח מהתעודה האמיתית שהתקבלה מהשרת ויוצר תעודת דמה, שאיתה הוא מחקה את השרת המבוקש בעת אינטראקציה עם הלקוח, תוך שהוא ממשיך להשתמש בחיבור TLS שנוצר עם שרת היעד כדי לקבל נתונים ( כדי שההחלפה לא תוביל לאזהרות הפלט בדפדפנים בצד הלקוח, עליך להוסיף את האישור שלך המשמש להפקת אישורים פיקטיביים למאגר תעודות השורש).
נוספו הנחיות mark_client_connection ו-mark_client_pack כדי לאגד סימני Netfilter (CONNMARK) לחיבורי TCP של הלקוח או מנות בודדות.

חמות על עקבותיהם, פורסמו הגרסאות של Squid 5.2 ו- Squid 4.17, בהן תוקנו הפגיעויות:

CVE-2021-28116 - דליפת מידע בעת עיבוד הודעות WCCPv2 בעלי מבנה מיוחד. הפגיעות מאפשרת לתוקף להשחית את רשימת הנתבים הידועים של WCCP ולהפנות תעבורה מלקוחות שרת פרוקסי אל המארח שלהם. הבעיה מופיעה רק בתצורות עם תמיכה ב-WCCPv2 מופעלת וכאשר ניתן לזייף את כתובת ה-IP של הנתב.
CVE-2021-41611 - בעיה באימות אישור TLS מאפשרת גישה באמצעות אישורים לא מהימנים.

מקור: OpenNet.ru

מהדורה יציבה של שרת ה-proxy Squid 5

הוספת תגובה ביטול תגובה