Үч жылдык өнүгүүдөн кийин өндүрүш системаларында колдонууга даяр Squid 5.1 прокси серверинин туруктуу релизи сунушталды (5.0.x релиздери бета версияларынын статусуна ээ болгон). 5.x бутагына туруктуу статус берилгенден кийин, мындан ары анда алсыздыктар жана туруктуулук көйгөйлөрү гана оңдолот жана майда оптималдаштырууга да жол берилет. Жаңы функцияларды иштеп чыгуу 6.0 жаңы эксперименталдык тармагында ишке ашырылат. Мурунку туруктуу 4.x бутагынын колдонуучуларына 5.x бутагына өтүүнү пландаштыруу сунушталат.
Squid 5теги негизги инновациялар:
- Тышкы мазмунду текшерүү системалары менен интеграциялоо үчүн колдонулган ICAP (Интернет Контент Адаптация Протоколу) ишке ашырылышы, билдирүүдөн кийин жайгаштырылган жоопко метаберилиштер менен кошумча темаларды тиркөөгө мүмкүндүк берүүчү маалыматтарды тиркөө механизмин (трейлер) колдоду. орган (мисалы, сиз текшерүү суммасын жана аныкталган көйгөйлөр жөнүндө маалымат жөнөтө аласыз).
- Сурамдарды кайра багыттоодо "Бактылуу көз алмалары" алгоритми колдонулат, ал дароо бардык мүмкүн болгон IPv4 жана IPv6 максаттуу даректеринин чечилишин күтпөстөн, алынган IP даректи колдонот. IPv4 же IPv4 даректер үй-бүлөсү колдонулганын аныктоо үчүн "dns_v6_first" жөндөөсүн колдонуунун ордуна, эми DNS жооптун тартиби эске алынат: эгерде DNS AAAA жообу IP даректин чечилишин күтүп жатканда биринчи келсе, анда натыйжасында IPv6 дареги колдонулат. Ошентип, артыкчылыктуу дарек үй-бүлөсүн орнотуу азыр брандмауэр, DNS же баштоо деңгээлинде “--disable-ipv6” опциясы менен аткарылат. Сунушталган өзгөртүү TCP туташууларын орнотуу убактысын тездетүүгө жана DNS резолюциясы учурунда кечигүүлөрдүн натыйжалуулугун төмөндөтүүгө мүмкүндүк берет.
- "external_acl" директивасында колдонуу үчүн "ext_kerberos_sid_group_acl" иштеткичи Kerberos аркылуу Active Directoryде топтук текшерүү менен аутентификация үчүн кошулган. Топтун атын суроо үчүн OpenLDAP пакети тарабынан берилген ldapsearch утилитасын колдонуңуз.
- Беркли DB форматын колдоо лицензиялоо маселелеринен улам жокко чыгарылган. Berkeley DB 5.x бутагы бир нече жылдан бери колдоого алынган эмес жана жаңыртылган кемчиликтери менен калууда жана жаңы релиздерге өтүү AGPLv3 лицензиясын өзгөртүү менен алдын алат, анын талаптары BerkeleyDB түрүндөгү тиркемелерге да тиешелүү. китепкана - Squid GPLv2 лицензиясы менен берилет, ал эми AGPL GPLv2 менен шайкеш келбейт. Беркли ДБнын ордуна долбоор TrivialDB DBMS колдонууга өткөрүлүп берилди, ал Беркли ДБдан айырмаланып, маалымат базасына параллелдүү кирүү үчүн оптималдаштырылган. Беркли DB колдоосу азырынча сакталып турат, бирок "ext_session_acl" жана "ext_time_quota_acl" иштеткичтери азыр "libdb" ордуна "libtdb" сактагыч түрүн колдонууну сунуштайт.
- RFC 8586-да аныкталган CDN-Loop HTTP башына колдоо кошулду, ал мазмунду жеткирүү тармактарын колдонууда циклдерди аныктоого мүмкүндүк берет (баш тилке CDNдердин ортосунда кайра багыттоо процессинде кандайдыр бир себептерден улам кайра багыттоо процессиндеги суроо-талапка кайтып келген кырдаалдардан коргоону камсыз кылат. оригиналдуу CDN, чексиз циклди түзөт).
- Шифрленген HTTPS сеанстарынын мазмунуна бөгөт коюуга мүмкүндүк берген SSL-Bump механизми HTTP CONNECT ыкмасына негизделген кадимки туннелди колдонуу менен cache_peer ичинде көрсөтүлгөн башка прокси серверлер аркылуу жасалма (кайра шифрленген) HTTPS сурамдарын кайра багыттоону колдоду. HTTPS аркылуу өткөрүү колдоого алынбайт, анткени Squid TLS ичинде TLS ташый албайт). SSL-Bump биринчи жолу кармалган HTTPS суроо-талабын алгандан кийин максаттуу сервер менен TLS байланышын түзүүгө жана анын сертификатын алууга мүмкүндүк берет. Андан кийин, Squid серверден алынган чыныгы сертификаттын хост атын колдонот жана жасалма сертификатты түзөт, анын жардамы менен кардар менен иштешкенде суралган серверди туурайт, ошол эле учурда маалыматты алуу үчүн максаттуу сервер менен орнотулган TLS байланышын колдонууну улантат ( алмаштыруу кардар тараптагы браузерлерде чыгуу эскертүүлөрүнө алып келбеши үчүн, сиз жасалма сертификаттарды түзүү үчүн колдонулган сертификатыңызды түпкү сертификаттар дүкөнүнө кошушуңуз керек).
- Netfilter белгилерин (CONNMARK) кардар TCP байланыштарына же жеке пакеттерге туташтыруу үчүн mark_client_connection жана mark_client_pack директивалары кошулду.
Кызуу, Squid 5.2 жана Squid 4.17 релиздери басылып чыкты, анда алсыздыктар оңдолду:
- CVE-2021-28116 - Атайын даярдалган WCCPv2 билдирүүлөрүн иштетүүдө маалыматтын агып кетиши. Алсыздык чабуулчуга белгилүү WCCP роутерлеринин тизмесин бузууга жана прокси сервер кардарларынан трафикти алардын хостуна багыттоого мүмкүндүк берет. Көйгөй WCCPv2 колдоосу иштетилген конфигурацияларда жана роутердин IP дарегин бурмалоо мүмкүн болгондо гана пайда болот.
- CVE-2021-41611 - TLS тастыктамасын текшерүүдөгү маселе ишенимсиз тастыктамаларды колдонууга мүмкүндүк берет.
Source: opennet.ru