Piştî sê salên pêşkeftinê, serbestberdanek domdar a servera proxy Squid 5.1 hate pêşkêş kirin, ku ji bo karanîna li ser pergalên hilberînê amade ye (berdan 5.0.x xwediyê statûya guhertoyên beta bû). Piştî ku şaxa 5.x statûyek îstîqrar hat dayîn, ji vir û pê ve tenê dê ji bo qelsî û pirsgirêkên îstîqrarê tê de rastkirin werin çêkirin, û xweşbîniyên piçûk jî têne destûr kirin. Pêşkeftina taybetmendiyên nû dê di şaxê nû yê ceribandinê 6.0 de were kirin. Bikarhênerên şaxa 4.x ya stabîl a berê tê şîret kirin ku plan bikin ku biçin şaxê 5.x.
Nûvekirinên sereke di Squid 5 de:
- Pêkanîna ICAP (Protokola Adaptasyona Naveroka Înternetê), ku ji bo entegrasyonê bi pergalên verastkirina naveroka derveyî re tê bikar anîn, piştgirî ji mekanîzmayek girêdana daneyê (trailer) re zêde kiriye, ku dihêle hûn sernavên din bi metadata re bi bersivê ve girêbidin, ku piştî peyamê hatî danîn. laş (mînakek, hûn dikarin kontrolek û hûrguliyên li ser pirsgirêkên hatine destnîşankirin bişînin).
- Dema ku daxwazan beralî dikin, algorîtmaya "Happy Eyeballs" tê bikar anîn, ku tavilê navnîşana IP-ya wergirtî bikar tîne, bêyî ku li bendê bimîne ku hemî navnîşanên mebestên IPv4 û IPv6 yên potansiyel werin çareser kirin. Li şûna ku meriv mîhenga "dns_v4_first" bikar bîne da ku diyar bike ka malbatek navnîşana IPv4 an IPv6 tê bikar anîn, rêza bersiva DNS nuha tê hesibandin: heke bersiva DNS AAAA pêşî were dema ku li benda çareserkirina navnîşana IP-yê ye, wê hingê navnîşana IPv6 encam dê were bikar anîn. Bi vî rengî, sazkirina malbata navnîşana bijare naha li dîwarê agir, DNS an asta destpêkê bi vebijarka "--çalak-ipv6" tête kirin. Guhertina pêşniyar rê dide me ku em dema sazkirinê ya girêdanên TCP-ê bilezînin û bandora performansa derengiyan di dema çareseriya DNS de kêm bikin.
- Ji bo karanîna di rêwerznameya "external_acl" de, rêvekera "ext_kerberos_sid_group_acl" ji bo erêkirinê bi kontrolkirina komê di Pelrêça Active Kerberos de hate zêdekirin. Ji bo lêpirsîna navê komê, amûra ldapsearch ya ku ji hêla pakêta OpenLDAP ve hatî peyda kirin bikar bînin.
- Piştgiriya ji bo formata Berkeley DB ji ber pirsgirêkên lîsansê hate betal kirin. Şaxa Berkeley DB 5.x ev çend sal in ku nehatiye domandin û bi qelsiyên bêserûber dimîne, û veguheztina berbi berdanên nûtir ji hêla guheztina destûrnameyê ve ji AGPLv3 re tê asteng kirin, hewcedariyên ku di heman demê de ji serîlêdanên ku BerkeleyDB di forma pirtûkxaneyek - Squid di bin lîsansa GPLv2 de tê peyda kirin, û AGPL bi GPLv2 re ne hevaheng e. Li şûna Berkeley DB, proje ji bo karanîna TrivialDB DBMS hate veguheztin, ku, berevajî Berkeley DB, ji bo gihîştina hevdem a paralel a databasê xweşbîn e. Piştgiriya DB ya Berkeley ji bo naha tê parastin, lê rêvebirên "ext_session_acl" û "ext_time_quota_acl" naha pêşniyar dikin ku li şûna "libdb" celebê hilanînê "libtdb" bikar bînin.
- Piştgiriyek ji bo sernavê CDN-Loop HTTP, ku di RFC 8586-ê de hatî destnîşan kirin, zêde kir, ku dihêle hûn dema ku torên radestkirina naverokê bikar tînin lûkan tesbît bikin (sernivîs li hember rewşan parastinê peyda dike dema ku daxwazek di pêvajoya beralîkirina CDN-yan de ji ber hin sedeman vedigere CDN-ya orîjînal, ku kelekek bêdawî ava dike).
- Mekanîzmaya SSL-Bump, ku dihêle hûn naveroka danişînên HTTPS yên şîfrekirî bişopînin, piştgirî zêde kiriye ji bo verastkirina daxwazên HTTPS yên xapînok (ji nû ve hatî şîfrekirin) bi navgîniya pêşkêşkerên din ên proxy yên ku di cache_peer de hatine destnîşan kirin, bi karanîna tunelek birêkûpêk li ser bingeha rêbaza HTTP CONNECT ( veguheztina bi HTTPS nayê piştgirî kirin, ji ber ku Squid hîn jî nikare TLS di nav TLS de veguhezîne). SSL-Bump dihêle hûn li ser wergirtina yekem daxwaza HTTPS-ê ya ku hatî desteser kirin pêwendiyek TLS bi servera armanc re saz bikin û sertîfîkaya wê bistînin. Piştî vê yekê, Squid navê mêvandarê ji sertîfîkaya rastîn a ku ji serverê hatî wergirtin bikar tîne û sertîfîkayek dumî diafirîne, ku pê re dema ku bi xerîdar re têkilî daynin, servera daxwazkirî teqlîd dike, di heman demê de berdewam dike ku pêwendiya TLS-ê ku bi servera armanc re hatî damezrandin bikar bîne da ku daneyan bistîne ( da ku veguheztin rê nede hişyariyên derketinê yên di gerokên li milê xerîdar de, hûn hewce ne ku sertîfîkaya xweya ku ji bo hilberîna sertîfîkayên xeyalî tê bikar anîn li dikana sertîfîkaya root zêde bikin).
- Rêvebirên mark_client_connection û mark_client_pack zêde kirin da ku nîşanên Netfilter (CONNMARK) bi girêdanên TCP-ya xerîdar an pakêtên kesane ve girêbidin.
Bi germî, serbestberdanên Squid 5.2 û Squid 4.17 hatin weşandin, ku tê de qelsî hatine rast kirin:
- CVE-2021-28116 - Dema ku peyamên WCCPv2 yên bi taybetî hatine çêkirin têne hilberandin. Qelsî dihêle ku êrîşkar navnîşa rêgezên WCCP yên naskirî xera bike û seyrûseferê ji xerîdarên servera proxy berbi mêvandarê xwe vegerîne. Pirsgirêk tenê di mîhengan de bi piştgiriya WCCPv2 çalakkirî xuya dike û dema ku gengaz e navnîşana IP-ya routerê bixapîne.
- CVE-2021-41611 - Pirsgirêkek di verastkirina sertîfîkaya TLS de destûrê dide gihîştina bi karanîna sertîfîkayên nebawer.
Source: opennet.ru