プロホスト > ブログ > インターネットニュース > Squid 5 プロキシサーバーの安定版リリース

Squid 5 プロキシサーバーの安定版リリース

5.1 年間の開発を経て、Squid 5.0 プロキシ サーバーの安定したリリースが提供され、運用システムで使用できるようになりました (リリース 5.x はベータ版のステータスでした)。 6.0.x ブランチに安定ステータスが与えられた後は、今後は脆弱性と安定性の問題の修正のみが行われ、軽微な最適化も許可されます。 新機能の開発は、新しい実験ブランチ 4 で実行されます。 以前の安定版 5.x ブランチのユーザーは、XNUMX.x ブランチへの移行を計画することをお勧めします。

Squid 5 の主な革新:

  • 外部コンテンツ検証システムとの統合に使用される ICAP (インターネット コンテンツ アダプテーション プロトコル) の実装により、データ添付メカニズム (トレーラー) のサポートが追加されました。これにより、メッセージの後に配置されるメタデータを含む追加のヘッダーを応答に添付できるようになります。本文 (たとえば、チェックサムと特定された問題の詳細を送信できます)。
  • リクエストをリダイレクトする場合、「Happy Eyeballs」アルゴリズムが使用されます。このアルゴリズムは、利用可能なすべての IPv4 および IPv6 ターゲット アドレスが解決されるのを待たずに、受信した IP アドレスを即座に使用します。 「dns_v4_first」設定を使用して IPv4 アドレス ファミリが使用されるか IPv6 アドレス ファミリが使用されるかを決定する代わりに、DNS 応答の順序が考慮されるようになりました。IP アドレスの解決を待機しているときに DNS AAAA 応答が最初に到着した場合、結果の IPv6 アドレスが使用されます。 したがって、優先アドレス ファミリの設定は、「--disable-ipv6」オプションを使用してファイアウォール、DNS、またはスタートアップ レベルで行われるようになりました。 提案された変更により、TCP 接続のセットアップ時間を短縮し、DNS 解決時の遅延によるパフォーマンスへの影響を軽減できます。
  • 「external_acl」ディレクティブで使用するために、Kerberos を使用した Active Directory でのグループ検査による認証用の「ext_kerberos_sid_group_acl」ハンドラーが追加されました。 グループ名を照会するには、OpenLDAP パッケージによって提供される ldapsearch ユーティリティを使用します。
  • Berkeley DB 形式のサポートは、ライセンスの問題により非推奨になりました。 Berkeley DB 5.x ブランチは数年間メンテナンスされておらず、パッチが適用されていない脆弱性が残っており、AGPLv3 へのライセンス変更によって新しいリリースへの移行が妨げられています。AGPLv2 の要件は、BerkeleyDB を次の形式で使用するアプリケーションにも適用されます。ライブラリ - Squid は GPLv2 ライセンスに基づいて提供されており、AGPL は GPLvXNUMX と互換性がありません。 プロジェクトは、Berkeley DB の代わりに TrivialDB DBMS の使用に移行しました。TrivialDB DBMS は、Berkeley DB とは異なり、データベースへの同時並列アクセス用に最適化されています。 Berkeley DB のサポートは今のところ維持されていますが、「ext_session_acl」および「ext_time_quota_acl」ハンドラーでは、「libdb」の代わりに「libtdb」ストレージ タイプの使用を推奨するようになりました。
  • RFC 8586 で定義されている CDN-Loop HTTP ヘッダーのサポートが追加されました。これにより、コンテンツ配信ネットワークの使用時にループを検出できます (ヘッダーは、CDN 間のリダイレクト処理中のリクエストが何らかの理由で元のサーバーに戻る状況に対する保護を提供します)。元の CDN、無限ループを形成します)。
  • 暗号化された HTTPS セッションのコンテンツを傍受できる SSL バンプ メカニズムにより、HTTP CONNECT メソッド ( Squid はまだ TLS 内で TLS を転送できないため、HTTPS 経由の送信はサポートされていません)。 SSL-Bump を使用すると、最初にインターセプトされた HTTPS リクエストの受信時にターゲット サーバーとの TLS 接続を確立し、その証明書を取得できます。 この後、Squid は、サーバーから受信した実際の証明書のホスト名を使用してダミーの証明書を作成します。これを使用して、クライアントと対話するときに要求されたサーバーを模倣しますが、データを受信するためにターゲット サーバーと確立された TLS 接続を引き続き使用します (置換によりクライアント側のブラウザで警告が出力されないように、架空の証明書の生成に使用される証明書をルート証明書ストアに追加する必要があります。
  • Netfilter マーク (CONNMARK) をクライアント TCP 接続または個々のパケットにバインドするために、mark_client_connection および mark_client_pack ディレクティブが追加されました。

それに続いて、脆弱性が修正された Squid 5.2 および Squid 4.17 のリリースが公開されました。

  • CVE-2021-28116 - 特別に細工された WCCPv2 メッセージを処理する際の情報漏洩。 この脆弱性により、攻撃者は既知の WCCP ルーターのリストを破損し、プロキシ サーバー クライアントからのトラフィックをそのホストにリダイレクトすることが可能になります。 この問題は、WCCPv2 サポートが有効になっている設定で、ルーターの IP アドレスをスプーフィングできる場合にのみ発生します。
  • CVE-2021-41611 - TLS 証明書検証の問題により、信頼できない証明書を使用したアクセスが許可されます。

出所: オープンネット.ru

コメントを追加します