🥇Squid 5 Proxy Stable Release

បន្ទាប់ពីបីឆ្នាំនៃការអភិវឌ្ឍន៍ ការចេញផ្សាយប្រកបដោយស្ថេរភាពនៃម៉ាស៊ីនមេប្រូកស៊ី Squid 5.1 ត្រូវបានបង្ហាញ រួចរាល់សម្រាប់ប្រើប្រាស់ក្នុងប្រព័ន្ធផលិតកម្ម (ការចេញផ្សាយ 5.0.x មានស្ថានភាពនៃកំណែបែតា)។ បន្ទាប់ពីធ្វើឱ្យសាខា 5.x មានស្ថេរភាព ឥឡូវនេះវានឹងជួសជុលតែភាពងាយរងគ្រោះ និងបញ្ហាស្ថេរភាពប៉ុណ្ណោះ ហើយការធ្វើឱ្យប្រសើរតិចតួចក៏ត្រូវបានអនុញ្ញាតផងដែរ។ ការអភិវឌ្ឍន៍មុខងារថ្មីនឹងត្រូវបានអនុវត្តនៅក្នុងសាខាពិសោធន៍ថ្មី 6.0 ។ អ្នកប្រើប្រាស់នៃសាខាដែលមានស្ថេរភាព 4.x ពីមុនត្រូវបានណែនាំឱ្យមានគម្រោងផ្លាស់ប្តូរទៅកាន់សាខា 5.x ។

ការច្នៃប្រឌិតសំខាន់ៗនៃ Squid 5:

ការអនុវត្តពិធីសារ ICAP (ពិធីការសម្របខ្លួនមាតិកាអ៊ីនធឺណិត) ដែលប្រើសម្រាប់ការរួមបញ្ចូលជាមួយប្រព័ន្ធត្រួតពិនិត្យមាតិកាខាងក្រៅបានបន្ថែមការគាំទ្រសម្រាប់យន្តការភ្ជាប់ទិន្នន័យ (ឈុតខ្លីៗ) ដែលអនុញ្ញាតឱ្យអ្នកភ្ជាប់បឋមកថាបន្ថែមជាមួយនឹងទិន្នន័យមេតាដែលដាក់បន្ទាប់ពីតួសារទៅ ការឆ្លើយតប (ឧទាហរណ៍ អ្នកអាចផ្ញើមូលប្បទានប័ត្រ និងព័ត៌មានលម្អិតនៃបញ្ហាដែលបានកំណត់)។
នៅពេលបញ្ជូនបន្តសំណើ ក្បួនដោះស្រាយ "Happy Eyeballs" ត្រូវបានប្រើ ដែលប្រើភ្លាមៗនូវអាសយដ្ឋាន IP ដែលទទួលបាន ដោយមិនរង់ចាំដំណោះស្រាយនៃអាសយដ្ឋានគោលដៅ IPv4 និង IPv6 ដែលមានសក្តានុពលទាំងអស់។ ជំនួសឱ្យការពិចារណាលើការកំណត់ "dns_v4_first" ដើម្បីកំណត់លំដាប់ដែលគ្រួសារអាសយដ្ឋាន IPv4 ឬ IPv6 ត្រូវបានប្រើ ការបញ្ជាទិញការឆ្លើយតប DNS ឥឡូវនេះត្រូវបានគោរព៖ ប្រសិនបើការឆ្លើយតប DNS AAAA មកដល់មុន ខណៈពេលដែលរង់ចាំអាសយដ្ឋាន IP ត្រូវបានដោះស្រាយ នោះលទ្ធផល អាសយដ្ឋាន IPv6 នឹងត្រូវបានប្រើ។ ដូច្នេះ ការកំណត់គ្រួសារអាស័យដ្ឋានដែលពេញចិត្តឥឡូវនេះត្រូវបានធ្វើនៅ Firewall, DNS ឬកម្រិតចាប់ផ្តើមជាមួយនឹងជម្រើស "--disable-ipv6" ។ ការផ្លាស់ប្តូរដែលបានស្នើឡើងបង្កើនល្បឿនពេលវេលារៀបចំការតភ្ជាប់ TCP និងកាត់បន្ថយផលប៉ះពាល់នៃដំណើរការនៃភាពយឺតយ៉ាវនៃដំណោះស្រាយ DNS ។
សម្រាប់ការប្រើប្រាស់នៅក្នុងការណែនាំ "external_acl" ឧបករណ៍ដោះស្រាយ "ext_kerberos_sid_group_acl" ត្រូវបានបន្ថែមសម្រាប់ការផ្ទៀងផ្ទាត់ជាមួយការផ្ទៀងផ្ទាត់ក្រុមនៅក្នុង Active Directory ដោយប្រើ Kerberos ។ ឧបករណ៍ប្រើប្រាស់ ldapsearch ដែលផ្តល់ដោយកញ្ចប់ OpenLDAP ត្រូវបានប្រើដើម្បីសួរឈ្មោះក្រុម។
ការគាំទ្រទម្រង់ Berkeley DB ត្រូវបានបដិសេធដោយសារបញ្ហាអាជ្ញាប័ណ្ណ។ សាខា Berkeley DB 5.x មិនត្រូវបានថែទាំអស់រយៈពេលជាច្រើនឆ្នាំ ហើយនៅតែមានភាពងាយរងគ្រោះដែលមិនបានជួសជុល ហើយការប្តូរទៅការចេញផ្សាយថ្មីជាងនេះមិនអនុញ្ញាតឱ្យផ្លាស់ប្តូរអាជ្ញាប័ណ្ណទៅ AGPLv3 នោះទេ តម្រូវការក៏អនុវត្តចំពោះកម្មវិធីដែលប្រើប្រាស់ BerkeleyDB ក្នុងទម្រង់បណ្ណាល័យផងដែរ - Squid មានអាជ្ញាប័ណ្ណក្រោម GPLv2 ហើយ AGPL មិនឆបគ្នាជាមួយ GPLv2 ទេ។ ជំនួសឱ្យ Berkeley DB គម្រោងនេះត្រូវបានប្តូរទៅប្រើ TrivialDB DBMS ដែលមិនដូច Berkeley DB ដែលត្រូវបានធ្វើឱ្យប្រសើរឡើងសម្រាប់ការចូលប្រើស្របគ្នាក្នុងពេលដំណាលគ្នាទៅកាន់មូលដ្ឋានទិន្នន័យ។ ការគាំទ្ររបស់ Berkeley DB ត្រូវបានរក្សាទុកសម្រាប់ពេលនេះ ប៉ុន្តែឧបករណ៍ដោះស្រាយ "ext_session_acl" និង "ext_time_quota_acl" ឥឡូវនេះត្រូវបានណែនាំឱ្យប្រើប្រភេទផ្ទុក "libtdb" ជំនួសឱ្យ "libdb" ។
បានបន្ថែមការគាំទ្រសម្រាប់បឋមកថា CDN-Loop HTTP ដែលកំណត់ក្នុង RFC 8586 ដែលអនុញ្ញាតឱ្យអ្នករកឃើញរង្វិលជុំនៅពេលប្រើបណ្តាញចែកចាយមាតិកា (បឋមកថាផ្តល់ការការពារប្រឆាំងនឹងស្ថានភាពនៅពេលដែលសំណើនៅក្នុងដំណើរការនៃការប្តូរទិសរវាង CDNs សម្រាប់ហេតុផលមួយចំនួនត្រឡប់ទៅ CDN ដើមបង្កើតជារង្វិលជុំគ្មានកំណត់)។
ការគាំទ្រសម្រាប់ការបញ្ជូនបន្តការក្លែងបន្លំ (បានអ៊ិនគ្រីបឡើងវិញ) សំណើ HTTPS តាមរយៈម៉ាស៊ីនមេប្រូកស៊ីផ្សេងទៀតដែលបានបញ្ជាក់នៅក្នុង cache_peer ដោយប្រើផ្លូវរូងក្រោមដីធម្មតាដោយផ្អែកលើវិធីសាស្ត្រ HTTP CONNECT ត្រូវបានបន្ថែមទៅយន្តការ SSL-Bump ដែលអនុញ្ញាតឱ្យរៀបចំការស្ទាក់ចាប់មាតិកានៃវគ្គ HTTPS ដែលបានអ៊ិនគ្រីប (ការបញ្ជូន លើសពី HTTPS មិនត្រូវបានគាំទ្រទេ ដោយសារ Squid មិនទាន់អាចឆ្លង TLS ក្នុង TLS)។ SSL-Bump អនុញ្ញាតឱ្យ បន្ទាប់ពីការទទួលសំណើ HTTPS ដែលត្រូវបានស្ទាក់ចាប់ជាលើកដំបូង ដើម្បីបង្កើតការតភ្ជាប់ TLS ជាមួយម៉ាស៊ីនមេគោលដៅ និងទទួលបានវិញ្ញាបនបត្ររបស់វា។ បន្ទាប់ពីនោះ Squid ប្រើឈ្មោះម៉ាស៊ីនពីវិញ្ញាបនបត្រពិតប្រាកដដែលបានទទួលពីម៉ាស៊ីនមេ ហើយបង្កើតវិញ្ញាបនបត្រអត់ចេះសោះ ដែលវាធ្វើត្រាប់តាមម៉ាស៊ីនមេដែលបានស្នើសុំនៅពេលធ្វើអន្តរកម្មជាមួយអតិថិជន ខណៈពេលដែលបន្តប្រើការតភ្ជាប់ TLS ដែលបានបង្កើតឡើងជាមួយម៉ាស៊ីនមេគោលដៅ ដើម្បីទទួលបានទិន្នន័យ (ដូច្នេះ ថាការជំនួសមិននាំឱ្យមានការព្រមានលទ្ធផលនៅក្នុងកម្មវិធីរុករកនៅលើផ្នែកអតិថិជនទេ អ្នកត្រូវបន្ថែមវិញ្ញាបនបត្ររបស់អ្នកដែលប្រើដើម្បីបង្កើតវិញ្ញាបនបត្រអត់ចេះសោះទៅកន្លែងផ្ទុកវិញ្ញាបនបត្រ root)។
បានបន្ថែមការណែនាំ mark_client_connection និង mark_client_pack ដើម្បីចង Netfilter marks (CONNMARK) ទៅនឹងការភ្ជាប់របស់អតិថិជន TCP ឬកញ្ចប់នីមួយៗ។

បន្ទាប់ពីការស្វែងរកយ៉ាងក្តៅគគុក ការចេញផ្សាយ Squid 5.2 និង Squid 4.17 ត្រូវបានបោះពុម្ព ដែលភាពងាយរងគ្រោះខាងក្រោមត្រូវបានជួសជុល៖

CVE-2021-28116 - ព័ត៌មានលេចធ្លាយពេលដំណើរការសារដែលបង្កើត WCCPv2 ។ ភាពងាយរងគ្រោះអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើឱ្យខូចបញ្ជីរ៉ោតទ័រ WCCP ដែលស្គាល់ និងបញ្ជូនចរាចរអតិថិជនប្រូកស៊ីទៅកាន់ម៉ាស៊ីនរបស់ពួកគេ។ បញ្ហាលេចឡើងតែនៅក្នុងការកំណត់ដែលមានការគាំទ្រ WCCPv2 ដែលបានបើក ហើយនៅពេលដែលវាអាចធ្វើទៅបានដើម្បីក្លែងបន្លំអាសយដ្ឋាន IP របស់រ៉ោតទ័រ។
CVE-2021-41611 - កំហុសមួយបានកើតឡើងខណៈពេលកំពុងផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ TLS ដែលអនុញ្ញាតឱ្យចូលប្រើដោយប្រើវិញ្ញាបនបត្រដែលមិនគួរឱ្យទុកចិត្ត។

ប្រភព: opennet.ru

ការចេញផ្សាយម៉ាស៊ីនមេប្រូកស៊ី Squid 5 ដែលមានស្ថេរភាព

បន្ថែមមតិយោបល់ ответОтменить