No dräi Joer Entwécklung ass eng stabil Verëffentlechung vum Squid 5.1 Proxy Server presentéiert ginn, prett fir op Produktiounssystemer ze benotzen (Releases 5.0.x haten de Status vun Beta Versiounen). Nodeems d'5.x Branche e stabile Status kritt huet, ginn vun elo un nëmme Fixer fir Schwachstelle a Stabilitéitsproblemer dran gemaach, a kleng Optimisatiounen sinn och erlaabt. D'Entwécklung vun neie Feature gëtt an der neier experimenteller Branche 6.0 duerchgefouert. D'Benotzer vun der viregter stabiler 4.x Branche ginn ugeroden ze plangen fir an d'5.x Branche ze migréieren.
Schlëssel Innovatiounen am Squid 5:
- D'Ëmsetze vum ICAP (Internet Content Adaptation Protocol), benotzt fir Integratioun mat externen Inhaltsverifizéierungssystemer, huet Ënnerstëtzung fir e Mechanismus fir Datenattachement (Trailer) bäigefüügt, deen Iech erlaabt zousätzlech Header mat Metadaten op d'Äntwert ze befestigen, no der Noriicht plazéiert Kierper (Zum Beispill, Dir kënnt e Checksum an Detailer iwwert d'Problemer identifizéiert schécken).
- Beim Viruleedung vun Ufroe gëtt den "Happy Eyeballs" Algorithmus benotzt, deen direkt déi erhalen IP Adress benotzt, ouni ze waarden fir all potenziell verfügbar IPv4 an IPv6 Ziladressen ze léisen. Amplaz d'Astellung "dns_v4_first" ze benotzen fir ze bestëmmen ob eng IPv4 oder IPv6 Adressfamill benotzt gëtt, gëtt d'Uerdnung vun der DNS Äntwert elo berücksichtegt: wann d'DNS AAAA Äntwert als éischt kënnt wann Dir op eng IP Adress gewaart huet fir ze léisen, dann déi resultéierend IPv6 Adress gëtt benotzt. Also ass d'Astellung vun der gewënschter Adressfamill elo op der Firewall, DNS oder Startup Niveau mat der "--disable-ipv6" Optioun gemaach. Déi proposéiert Ännerung erlaabt eis d'Setupzäit vun TCP Verbindungen ze beschleunegen an d'Performance Impakt vu Verspéidungen während DNS Resolutioun ze reduzéieren.
- Fir d'Benotzung an der "external_acl" Direktiv, ass den "ext_kerberos_sid_group_acl" Handler fir d'Authentifikatioun mat der Gruppekontroll am Active Directory mat Kerberos bäigefüügt. Fir de Gruppnumm ze froen, benotzt d'ldapsearch Utility vum OpenLDAP Package.
- Ënnerstëtzung fir de Berkeley DB Format gouf ofgeschaaft wéinst Lizenzprobleemer. D'Berkeley DB 5.x Branche ass zënter e puer Joer net erhale ginn a bleift mat onpatchéierte Schwachstelle, an den Iwwergank op méi nei Verëffentlechungen gëtt verhënnert duerch eng Lizenzännerung op AGPLv3, d'Ufuerderunge vun deenen och fir Uwendungen gëllen déi BerkeleyDB a Form vun benotzen. eng Bibliothéik - Squid gëtt ënner der GPLv2 Lizenz geliwwert, an AGPL ass net kompatibel mat GPLv2. Amplaz vu Berkeley DB gouf de Projet op d'Benotzung vun der TrivialDB DBMS transferéiert, déi, am Géigesaz zu Berkeley DB, optimiséiert ass fir e simultan parallelen Zougang zu der Datebank. Berkeley DB Ënnerstëtzung gëtt fir de Moment behalen, awer d'"ext_session_acl" an "ext_time_quota_acl" Handler recommandéieren elo den "libtdb" Späichertyp anstatt "libdb" ze benotzen.
- Zousätzlech Ënnerstëtzung fir den CDN-Loop HTTP Header, definéiert am RFC 8586, deen Iech erlaabt Loops z'entdecken wann Dir Inhaltsliwwerungsnetzwierker benotzt (den Header bitt Schutz géint Situatiounen wann eng Ufro am Prozess vun der Viruleedung tëscht CDNs aus irgendege Grënn zréck an de original CDN, déi eng endlos Loop bilden).
- Den SSL-Bump Mechanismus, deen Iech erlaabt den Inhalt vun verschlësselte HTTPS Sessiounen z'ënnerscheeden, huet Ënnerstëtzung bäigefüügt fir spooféiert (neverschlësselte) HTTPS Ufroen duerch aner Proxy Server spezifizéiert am cache_peer, mat engem normale Tunnel baséiert op der HTTP CONNECT Method ( Iwwerdroung iwwer HTTPS gëtt net ënnerstëtzt, well Squid nach net TLS bannent TLS transportéiere kann). SSL-Bump erlaabt Iech eng TLS Verbindung mam Zil-Server op Empfang vun der éischter ofgefaangen HTTPS-Ufro ze etabléieren a säin Zertifika ze kréien. Duerno benotzt Squid den Hostnumm vum richtege Zertifika, deen vum Server kritt gëtt a erstellt en Dummy-Zertifika, mat deem et den ugefrote Server imitéiert wann se mam Client interagéiert, wärend d'TLS-Verbindung, déi mam Zilserver etabléiert ass, benotzt fir Daten ze kréien ( sou datt d'Auswiesselung net zu den Ausgangswarnungen an de Browser op der Client Säit féiert, musst Dir Äert Zertifika addéieren fir fiktiv Zertifikater an de Root Zertifikat Store ze generéieren).
- Mark_client_connection a mark_client_pack Direktiven bäigefüügt fir Netfilter Marken (CONNMARK) un Client TCP Verbindungen oder eenzel Pakete ze binden.
Hot op hir Fersen, d'Verëffentlechunge vu Squid 5.2 a Squid 4.17 goufen publizéiert, an deenen d'Schwieregkeeten fixéiert goufen:
- CVE-2021-28116 - Informatiounsleckage beim Veraarbechtung vu speziell erstallte WCCPv2 Messagen. D'Vulnerabilitéit erlaabt en Ugräifer d'Lëscht vu bekannte WCCP Router ze korruptéieren an de Traffic vu Proxy Server Clienten op hiren Host ze redirectéieren. De Problem erschéngt nëmmen a Konfiguratiounen mat WCCPv2 Ënnerstëtzung aktivéiert a wann et méiglech ass d'IP Adress vum Router ze spoofen.
- CVE-2021-41611 - En Thema an der TLS Zertifika Verifizéierung erlaabt Zougang mat ontrauen Zertifikater.
Source: opennet.ru