Sawise telung taun pembangunan, release stabil saka Squid 5.1 server proxy presented, siap kanggo nggunakake ing sistem produksi (rilis 5.0.x wis status versi beta). Sawise nggawe cabang 5.x stabil, saiki mung bakal ndandani kerentanan lan masalah stabilitas, lan optimasi cilik uga diidini. Pangembangan fitur-fitur anyar bakal ditindakake ing cabang eksperimen anyar 6.0. Pangguna saka 4.x cabang stabil kepungkur dianjurake kanggo rencana pindhah menyang cabang 5.x.
Inovasi utama Squid 5:
- Implementasi protokol ICAP (Internet Content Adaptation Protocol), sing digunakake kanggo integrasi karo sistem pengawasan konten eksternal, wis nambah dhukungan kanggo mekanisme lampiran data (trailer), sing ngidini sampeyan masang header tambahan kanthi metadata sing diselehake sawise awak pesen menyang nanggepi (contone, sampeyan bisa ngirim checksum lan rincian masalah dikenali).
- Nalika ngarahake panjalukan, algoritma "Happy Eyeballs" digunakake, sing langsung nggunakake alamat IP sing ditampa, tanpa ngenteni resolusi kabeh alamat target IPv4 lan IPv6 sing kasedhiya. Tinimbang ngormati setelan "dns_v4_first" kanggo nemtokake urutan sing digunakake kulawarga alamat IPv4 utawa IPv6, urutan respon DNS saiki dihormati: yen respon DNS AAAA teka dhisik nalika ngenteni alamat IP ditanggulangi, banjur ditampa. Alamat IPv6 bakal digunakake. Mangkono, nyetel kulawarga alamat sing disenengi saiki wis rampung ing firewall, DNS, utawa tingkat wiwitan kanthi pilihan "--disable-ipv6". Owah-owahan sing diusulake nyepetake wektu persiyapan sambungan TCP lan nyuda pengaruh kinerja latensi resolusi DNS.
- Kanggo digunakake ing arahan "external_acl", pawang "ext_kerberos_sid_group_acl" wis ditambahake kanggo otentikasi karo verifikasi grup ing Active Directory nggunakake Kerberos. Kanggo takon jeneng grup, gunakake sarana ldapsearch sing diwenehake dening paket OpenLDAP.
- Dhukungan kanggo format Berkeley DB wis ora digunakake amarga masalah lisensi. Cabang Berkeley DB 5.x wis ora dijaga nganti pirang-pirang taun lan tetep karo kerentanan sing ora ditambani, lan ngalih menyang rilis sing luwih anyar ora ngidini ngganti lisensi dadi AGPLv3, syarat kasebut uga ditrapake kanggo aplikasi nggunakake BerkeleyDB ing wangun perpustakaan - Squid dilisensi ing GPLv2, lan AGPL ora kompatibel karo GPLv2. Tinimbang Berkeley DB, proyek kasebut dialihake nggunakake DBMS TrivialDB, sing, ora kaya Berkeley DB, dioptimalake kanggo akses paralel simultan menyang database. Dhukungan Berkeley DB wis ditahan saiki, nanging panangan "ext_session_acl" lan "ext_time_quota_acl" saiki disaranake nggunakake jinis panyimpenan "libtdb" tinimbang "libdb".
- Dhukungan tambahan kanggo header HTTP CDN-Loop, ditetepake ing RFC 8586, sing ngidini sampeyan ndeteksi puteran nalika nggunakake jaringan pangiriman konten (header menehi pangayoman marang kahanan nalika panyuwunan ing proses redirection antarane CDN amarga sawetara alasan bali menyang CDN asli, mbentuk loop tanpa wates).
- Dhukungan kanggo pangalihan panjaluk HTTPS sing disalahake (dienkripsi ulang) liwat server proxy liyane sing ditemtokake ing cache_peer nggunakake trowongan biasa adhedhasar metode HTTP CONNECT wis ditambahake menyang mekanisme SSL-Bump, sing ngidini ngatur interception isi sesi HTTPS sing dienkripsi (transmisi). liwat HTTPS ora didhukung amarga Squid durung bisa ngliwati TLS ing TLS). SSL-Bump ngidini, nalika nampa panjalukan HTTPS sing dicegat pisanan, kanggo nggawe sambungan TLS karo server target lan entuk sertifikat. Sawise iku, Squid nggunakake jeneng host saka sertifikat nyata sing ditampa saka server lan nggawe sertifikat dummy sing niru server sing dijaluk nalika sesambungan karo klien, nalika terus nggunakake sambungan TLS sing diadegake karo server target kanggo nampa data (dadi yen substitusi ora mimpin kanggo bebaya output ing browser ing sisih klien, sampeyan kudu nambah certificate digunakake kanggo generate sertifikat goblok kanggo nyimpen certificate ROOT).
- Nambahake arahan mark_client_connection lan mark_client_pack kanggo ngiket tandha Netfilter (CONNMARK) menyang sambungan TCP klien utawa paket individu.
Sawise nguber panas, rilis Squid 5.2 lan Squid 4.17 diterbitake kanthi kerentanan ing ngisor iki:
- CVE-2021-28116 - Informasi bocor nalika ngolah pesen sing digawe WCCPv2. Kerentanan kasebut ngidini panyerang ngrusak dhaptar router WCCP sing dikenal lan ngarahake lalu lintas klien proxy menyang host. Masalah katon mung ing konfigurasi karo support WCCPv2 aktif lan nalika iku bisa kanggo spoof alamat IP router.
- CVE-2021-41611 - kesalahan validasi sertifikat TLS ngidini akses nggunakake sertifikat sing ora dipercaya.
Source: opennet.ru