Squid 5 프록시 서버의 안정적인 릴리스

5.1년간의 개발 끝에 Squid 5.0 프록시 서버의 안정적인 릴리스가 이제 운영 시스템에서 사용할 수 있게 되었습니다(5.x 릴리스는 베타 버전이었습니다). 6.0.x 브랜치가 안정화됨에 따라, 취약점 및 안정성 문제 해결에만 사용되며, 사소한 최적화가 이루어질 수 있습니다. 새로운 기능은 새로운 실험 버전인 4 브랜치에서 개발될 예정입니다. 이전 안정적인 5.x 브랜치를 사용하시는 분들은 XNUMX.x 브랜치로의 마이그레이션을 계획하시기 바랍니다.

Squid 5의 주요 새로운 기능:

• 외부 콘텐츠 검증 시스템과의 통합에 사용되는 ICAP(인터넷 콘텐츠 적응 프로토콜) 구현에 데이터 첨부 메커니즘(트레일러)에 대한 지원이 추가되어, 메시지 본문 뒤에 메타데이터가 포함된 추가 헤더를 응답에 첨부할 수 있습니다(예: 체크섬과 감지된 문제에 대한 세부 정보를 전송할 수 있음).
• 요청을 리디렉션할 때 "Happy Eyeballs" 알고리즘이 사용됩니다. 이 알고리즘은 잠재적으로 사용 가능한 모든 IPv4 및 IPv6 대상 주소가 확인될 때까지 기다리지 않고 수신된 IP 주소를 즉시 사용합니다. IPv4 또는 IPv6 주소 패밀리를 사용할 순서를 결정하기 위해 "dns_v4_first" 설정을 사용하는 대신, 이제 DNS 응답 순서가 고려됩니다. 즉, 확인을 기다리는 동안, IP 주소 첫 번째 DNS AAAA 응답이 수신되면 해당 IPv6 주소가 사용됩니다. 따라서 이제 선호하는 주소 패밀리 구성은 방화벽, DNS 또는 시작 수준에서 "--disable-ipv6" 옵션을 사용하여 수행됩니다. 이 변경 사항은 TCP 연결 설정 시간을 개선하고 DNS 확인 지연이 성능에 미치는 영향을 줄입니다.
• Kerberos를 사용하여 Active Directory에 대한 그룹 기반 인증을 위한 "external_acl" 지시문에 사용할 "ext_kerberos_sid_group_acl" 핸들러가 추가되었습니다. OpenLDAP 패키지에서 제공하는 ldapsearch 유틸리티를 사용하여 그룹 이름을 쿼리합니다.
• 라이선스 문제로 인해 Berkeley DB 데이터베이스 형식에 대한 지원이 중단되었습니다. Berkeley DB 5.x 버전은 수년간 지원되지 않았으며 패치되지 않은 취약점이 여전히 존재합니다. AGPLv3 라이선스로 변경된 라이선스로 인해 최신 릴리스로의 전환이 불가능하며, 이 라이선스의 요구 사항은 라이브러리 형태로 BerkeleyDB를 사용하는 애플리케이션에도 적용됩니다. Squid는 GPLv2 라이선스로 배포되며, AGPL은 GPLv2와 호환되지 않습니다. 이 프로젝트는 Berkeley DB 대신, Berkeley DB와 달리 데이터베이스에 대한 동시 병렬 액세스에 최적화된 TrivialDB DBMS를 사용하기로 전환했습니다. Berkeley DB 지원은 여전히 유지되지만, "ext_session_acl" 및 "ext_time_quota_acl" 핸들러에서는 이제 "libdb" 대신 "libtdb" 저장 유형을 사용하는 것이 좋습니다.
• RFC 8586에 정의된 CDN-Loop HTTP 헤더에 대한 지원이 추가되었습니다. 이를 통해 콘텐츠 전송 네트워크를 사용할 때 루프를 감지할 수 있습니다(이 헤더는 어떤 이유로 CDN 간 리디렉션 중에 요청이 원래 CDN으로 돌아가 무한 루프가 발생하는 상황으로부터 보호해 줍니다).
• 암호화된 HTTPS 세션의 내용을 가로챌 수 있는 SSL-Bump 메커니즘은 이제 HTTP CONNECT 메서드 기반의 일반 터널을 사용하여 cache_peer에 지정된 다른 프록시 서버를 통해 스푸핑된(재암호화된) HTTPS 요청을 리디렉션하는 기능을 지원합니다(Squid는 아직 TLS 내에서 TLS를 전송할 수 없으므로 HTTPS를 통한 전송은 지원되지 않습니다). SSL-Bump를 사용하면 가로챈 첫 번째 HTTPS 요청을 수신하면 대상 서버와 TLS 연결을 설정하고 인증서를 획득할 수 있습니다. 그 후, Squid는 서버에서 수신한 실제 인증서의 호스트 이름을 사용하여 더미 인증서를 생성합니다. 이 인증서를 통해 클라이언트와 상호 작용할 때 요청된 서버를 모방하는 동시에 대상 서버와 설정된 TLS 연결을 사용하여 데이터를 수신합니다(클라이언트 측 브라우저에서 대체 인증서로 인한 경고가 발생하는 것을 방지하려면 더미 인증서 생성에 사용된 인증서를 루트 인증서 저장소에 추가해야 합니다).
• Netfilter 마크(CONNMARK)를 클라이언트 TCP 연결이나 개별 패킷에 바인딩하기 위해 mark_client_connection 및 mark_client_pack 지시어를 추가했습니다.

이에 따라 취약점을 해결한 Squid 5.2와 Squid 4.17이 출시되었습니다.

• CVE-2021-28116 — 특수하게 조작된 WCCPv2 메시지 처리 시 정보 유출. 이 취약점을 통해 공격자는 알려진 WCCP 라우터 목록을 손상시키고 프록시 서버 클라이언트 트래픽을 해당 호스트로 리디렉션할 수 있습니다. 이 문제는 WCCPv2 지원이 활성화되고 라우터의 IP 주소를 스푸핑할 수 있는 구성에서만 나타납니다.
• CVE-2021-41611 - 유효성 검사 오류 TLS 인증서이는 신뢰할 수 없는 인증서를 사용하여 액세스를 허용합니다.

출처 : opennet.ru