Post tres annos evolutionis stabilis emissio Squid 5.1 ineundo servo praesentatus est, paratus ad usum in systematis productionis (dimissionem 5.0.x statum betae versionis habuit). Post 5.x ramus status stabilis donatus est, posthac tantum figit pro vulnerabilitate et stabilitate problemata in eo fient, et minora quoque permittuntur. Progressio novarum notarum in novo ramo experimentali 6.0 perficietur. Users 4.x ramus stabilis prioris admonentur ut consilium ad 5.x ramum migrandum sit.
Key innovationes in Squid 5:
- Exsecutio ICAP (Protocollum Internet Content Accommodatio), ad integrationem cum exterioribus contentis systematibus verificationis adhibitis, subsidium adnectit mechanismum affixum (trailer), quod permittit ut additamenta capitis metadata ad responsionem adiungas, post nuntium positis. corpus (exempli gratia, checksum et singula circa problemata quae identificantur mittere potes).
- Cum redirecting petitiones, algorithmus "beatus Eyeballs" adhibetur, qui statim IP inscriptionem receptam adhibet, non expectatis omnibus potentialiter praesto IPv4 et IPv6 inscriptionibus scopo solvendis. Loco attentis "dns_v4_primum" determinare utrum familia inscriptionis IPv4 vel IPv6 adhibita sit, ordo responsionis DNS nunc inspecta est: si responsio responsionis DNS AAAA primum venit, cum expectans locum IP ad solvendum; tunc IPv6 oratio prolata adhibebitur. Ita, cum praelatum familiae electronicae constituendum est, nunc fit in muro fire muro, DNS vel satus cum optione "--disable-ipv6". Proposita mutatio nobis permittit ut tempus setup coniunctionum TCP accelerare et in effectum morarum solutionem DNS reducere.
- Usus in "external_acl" directivus, "ext_kerberos_sid_group_acl" tracto addita est ad authenticas cum sodalitate notatione in Active Directory utendo Kerberos. Ad nomen coetus investigandum, ldapsearch utere utilitate a sarcina OpenLDAP provisum.
- Sustentatio Berkeley DB forma deprecata est propter quaestiones licentiae. Berkeley DB 5.x ramus per aliquot annos non servatus est et cum nuditatibus incompositis manet, et transitus ad emissiones recentiores impeditur per licentiam mutationis in AGPLv3, cuius requisita etiam applicant applicationes quae in forma BerkeleyDB utuntur. bibliotheca - Squid suppletur sub licentia GPLv2, et AGPL cum GPLv2 non compatitur. Instead of Berkeley DB, consilium in usum TrivialDB DBMS translatum est, quod, dissimilis Berkeley DB, optimized est pro simultaneo parallelis accessus datorum. Berkeley DB subsidium nunc retinuit, sed "ext_session_acl" et "ext_quota_acl" tracto nunc suadeo utens "libtdb" genus repositionis pro "libdb".
- Subsidium additum pro CDN-Loop HTTP capitis, in RFC 8586 definitum, quod permittit tibi loramenta detegere cum retiacula contenta traditionis utens (capitis tutelam praebet contra condiciones cum petitio in processu redirectionis inter CDNs aliqua de causa ad reditum redit. original CDN, ansam infinitam formans).
- Mechanismum SSL-Bump, quod permittit te contenta sessionum encryptarum HTTPS intercipere, subsidium redirectionis spoofed (re-encrypted) HTTPS petitiones per alios ministros procuratores in cache_peer descriptos addidit, utens regulari cuniculo in HTTP connexo methodo innixus ( transmissio per HTTPS non sustinetur, quia Squid nondum TLS intra TLS transportare potest). SSL-Bump permittit te ut nexum TLS cum servo scopo constituas in recepcione petitionis HTTPS primi interceptae et eius libellum obtinebis. Post hoc, Squid nomine hostname utitur realis testimonium a servo receptum et libellum phantasticum creat, quocum servo rogatum imitatur commercium cum cliente, manens utere nexum TLS cum servo scopo constituto ad data recipienda. ut substitutio admonitiones ad output in navigatoribus in latere clientis non ducat, necesse est libellum tuum addere adhibitum ad testimonium fictitium generandi ad radicem certificamenti copia).
- Adiectae sunt mark_client_connection et mark_client_pack normas ligandi Netfilter notas (CONNMARK) ad clientes TCP nexus vel singulas fasciculos.
Calidum in calcaneo emissiones Squid 5.2 et Squid 4.17 divulgatae sunt, in quibus vulnera fixa sunt:
- CVE-2021-28116 - Informationes lacus cum WCCPv2 nuntiis specialiter fabricati sunt. Invasor vulnerabilitas permittit corrumpere iter itineris notarum WCCP et mercaturam redirectam ex clientelam procuratoris ad hospitem suum. Quaestio tantum apparet in configurationibus cum WCCPv2 subsidio parato et cum fieri potest ut IP oratio itineris conficiatur.
- CVE-2021-41611 - Quaestio in TLS confirmationis certificatorium aditum permittit utens certificati testimonium.
Source: opennet.ru