Squid 5 프록시 서버의 안정적인 릴리스

5.1년간의 개발 끝에 Squid 5.0 프록시 서버의 안정적인 릴리스가 출시되어 프로덕션 시스템에서 사용할 준비가 되었습니다(릴리스 5.x는 베타 버전 상태였습니다). 6.0.x 브랜치에 안정적인 상태가 부여된 후에는 이제부터 취약점과 안정성 문제에 대한 수정만 이루어지며 사소한 최적화도 허용됩니다. 새로운 기능의 개발은 새로운 실험 분기 4에서 수행될 예정입니다. 이전의 안정적인 5.x 분기 사용자는 XNUMX.x 분기로 마이그레이션할 계획을 세우는 것이 좋습니다.

Squid 5의 주요 혁신 사항:

• 외부 콘텐츠 검증 시스템과의 통합에 사용되는 ICAP(인터넷 콘텐츠 적응 프로토콜)의 구현에는 데이터 첨부 메커니즘(예고편)에 대한 지원이 추가되었습니다. 이를 통해 메시지 뒤에 배치된 메타데이터가 포함된 추가 헤더를 응답에 첨부할 수 있습니다. 예를 들어 확인된 문제에 대한 체크섬과 세부 정보를 보낼 수 있습니다.
• 요청을 리디렉션할 때 잠재적으로 사용 가능한 모든 IPv4 및 IPv6 대상 주소가 확인될 때까지 기다리지 않고 수신된 IP 주소를 즉시 사용하는 "Happy Eyeballs" 알고리즘이 사용됩니다. IPv4 또는 IPv4 주소 계열이 사용되는지 여부를 결정하기 위해 "dns_v6_first" 설정을 사용하는 대신 이제 DNS 응답 순서가 고려됩니다. IP 주소가 확인될 때까지 기다릴 때 DNS AAAA 응답이 먼저 도착하면 결과 IPv6 주소가 사용됩니다. 따라서 선호하는 주소군 설정은 이제 "--disable-ipv6" 옵션을 사용하여 방화벽, DNS 또는 시작 수준에서 수행됩니다. 제안된 변경을 통해 TCP 연결 설정 시간을 단축하고 DNS 확인 중 지연이 성능에 미치는 영향을 줄일 수 있습니다.
• "external_acl" 지시문에서 사용하기 위해 Kerberos를 사용하여 Active Directory에서 그룹 확인을 통한 인증을 위해 "ext_kerberos_sid_group_acl" 처리기가 추가되었습니다. 그룹 이름을 쿼리하려면 OpenLDAP 패키지에서 제공하는 ldapsearch 유틸리티를 사용하세요.
• Berkeley DB 형식에 대한 지원은 라이센스 문제로 인해 더 이상 사용되지 않습니다. Berkeley DB 5.x 브랜치는 수년 동안 유지 관리되지 않았으며 패치되지 않은 취약점이 남아 있으며, AGPLv3에 대한 라이선스 변경으로 인해 최신 릴리스로의 전환이 방지됩니다. 이 요구 사항은 BerkeleyDB를 다음과 같은 형태로 사용하는 애플리케이션에도 적용됩니다. 라이브러리 - Squid는 GPLv2 라이센스에 따라 제공되며 AGPL은 GPLv2와 호환되지 않습니다. Berkeley DB 대신 TrivialDB DBMS를 사용하도록 프로젝트가 이전되었습니다. TrivialDB DBMS는 Berkeley DB와 달리 데이터베이스에 대한 동시 병렬 액세스에 최적화되어 있습니다. Berkeley DB 지원은 현재 유지되지만 "ext_session_acl" 및 "ext_time_quota_acl" 핸들러는 이제 "libdb" 대신 "libtdb" 저장소 유형을 사용하도록 권장합니다.
• RFC 8586에 정의된 CDN-Loop HTTP 헤더에 대한 지원이 추가되었습니다. 이를 통해 콘텐츠 전송 네트워크를 사용할 때 루프를 감지할 수 있습니다(헤더는 CDN 간에 리디렉션하는 과정에서 요청이 어떤 이유로든 다시 반환되는 상황에 대한 보호를 제공합니다). 무한 루프를 형성하는 원본 CDN).
• 암호화된 HTTPS 세션의 콘텐츠를 가로챌 수 있는 SSL-Bump 메커니즘에는 HTTP CONNECT 메서드를 기반으로 하는 일반 터널을 사용하여 캐시_피어에 지정된 다른 프록시 서버를 통해 스푸핑(재암호화)된 HTTPS 요청을 리디렉션하는 지원이 추가되었습니다( Squid는 아직 TLS 내에서 TLS를 전송할 수 없기 때문에 HTTPS를 통한 전송은 지원되지 않습니다. SSL-Bump를 사용하면 처음으로 가로채는 HTTPS 요청을 수신하면 대상 서버와 TLS 연결을 설정하고 해당 인증서를 얻을 수 있습니다. 이후 Squid는 서버에서 받은 실제 인증서의 호스트 이름을 사용하고 더미 인증서를 생성하여 클라이언트와 상호 작용할 때 요청한 서버를 모방하는 동시에 대상 서버와 설정된 TLS 연결을 계속 사용하여 데이터를 수신합니다. 대체가 클라이언트 측 브라우저에 출력 경고로 이어지지 않도록 하려면 가상 인증서를 생성하는 데 사용된 인증서를 루트 인증서 저장소에 추가해야 합니다.
• Netfilter 표시(CONNMARK)를 클라이언트 TCP 연결 또는 개별 패킷에 바인딩하기 위해 mark_client_connection 및 mark_client_pack 지시문을 추가했습니다.

이에 뒤이어 Squid 5.2와 Squid 4.17이 출시되어 취약점이 수정되었습니다.

• CVE-2021-28116 - 특수 제작된 WCCPv2 메시지를 처리할 때 정보가 유출됩니다. 이 취약점으로 인해 공격자는 알려진 WCCP 라우터 목록을 손상시키고 프록시 서버 클라이언트에서 해당 호스트로 트래픽을 리디렉션할 수 있습니다. 문제는 WCCPv2 지원이 활성화된 구성과 라우터의 IP 주소 스푸핑이 가능한 경우에만 나타납니다.
• CVE-2021-41611 - TLS 인증서 확인 문제로 인해 신뢰할 수 없는 인증서를 사용한 액세스가 허용됩니다.

출처 : opennet.ru