Po trejų metų kūrimo buvo pristatytas stabilus Squid 5.1 tarpinio serverio leidimas, paruoštas naudoti gamybinėse sistemose (5.0.x leidimai turėjo beta versijų būseną). 5.x šakai suteikus stabilų statusą, nuo šiol jame bus daromi tik pažeidžiamumų ir stabilumo problemų taisymai, taip pat leidžiami smulkūs optimizavimai. Naujų funkcijų kūrimas bus vykdomas naujoje eksperimentinėje šakoje 6.0. Ankstesnės stabilios 4.x šakos naudotojams patariama planuoti migraciją į 5.x šaką.
Pagrindinės „Squid 5“ naujovės:
- Įdiegus ICAP (Internet Content Adaptation Protocol), naudojamą integruojant su išorinėmis turinio tikrinimo sistemomis, buvo pridėtas duomenų pridėjimo mechanizmo (priekabos) palaikymas, leidžiantis prie atsakymo pridėti papildomas antraštes su metaduomenimis, dedamas po pranešimo. kūnas (pavyzdžiui, galite atsiųsti kontrolinę sumą ir išsamią informaciją apie nustatytas problemas).
- Peradresuojant užklausas naudojamas „Happy Eyeballs“ algoritmas, kuris iškart panaudoja gautą IP adresą, nelaukdamas, kol bus išspręsti visi potencialiai prieinami IPv4 ir IPv6 tiksliniai adresai. Užuot naudoję nustatymą „dns_v4_first“, kad nustatytų, ar naudojama IPv4 ar IPv6 adresų šeima, dabar atsižvelgiama į DNS atsakymo tvarką: jei DNS AAAA atsakymas gaunamas pirmas laukiant, kol IP adresas bus išspręstas, tada bus naudojamas gautas IPv6 adresas. Taigi pageidaujamos adresų šeimos nustatymas dabar atliekamas ugniasienės, DNS arba paleisties lygiu, naudojant parinktį „--disable-ipv6“. Siūlomas pakeitimas leidžia pagreitinti TCP jungčių nustatymo laiką ir sumažinti DNS sprendimo vėlavimo poveikį našumui.
- Kad būtų galima naudoti direktyvoje „external_acl“, buvo pridėta „ext_kerberos_sid_group_acl“ tvarkyklė, skirta autentifikuoti su grupės patikra Active Directory naudojant Kerberos. Norėdami paklausti grupės pavadinimo, naudokite „ldapsearch“ įrankį, kurį teikia „OpenLDAP“ paketas.
- Berkeley DB formato palaikymas nebenaudojamas dėl licencijavimo problemų. „Berkeley DB 5.x“ filialas buvo neprižiūrimas jau keletą metų ir tebėra nepataisytas pažeidžiamumas, o pereiti prie naujesnių leidimų neleidžia licencijos pakeitimas į AGPLv3, kurio reikalavimai taip pat taikomi programoms, kurios naudoja BerkeleyDB kaip biblioteka – Squid tiekiamas pagal GPLv2 licenciją, o AGPL nesuderinamas su GPLv2. Vietoj Berkeley DB projektas buvo perkeltas į TrivialDB DBVS naudojimą, kuris, skirtingai nei Berkeley DB, yra optimizuotas tuo pačiu metu lygiagrečiai prieigai prie duomenų bazės. „Berkeley DB“ palaikymas kol kas išsaugomas, tačiau „ext_session_acl“ ir „ext_time_quota_acl“ tvarkyklės dabar rekomenduoja naudoti „libtdb“ saugyklos tipą, o ne „libdb“.
- Pridėtas CDN-Loop HTTP antraštės, apibrėžtos RFC 8586, palaikymas, leidžiantis aptikti kilpas naudojant turinio pristatymo tinklus (antraštė suteikia apsaugą nuo situacijų, kai užklausa peradresuojant tarp CDN dėl kokių nors priežasčių grįžta atgal į originalus CDN, sudarantis begalinę kilpą).
- SSL-Bump mechanizmas, leidžiantis perimti šifruotų HTTPS seansų turinį, papildė suklastotų (iš naujo užšifruotų) HTTPS užklausų peradresavimą per kitus tarpinius serverius, nurodytus cache_peer, naudojant įprastą tunelį, pagrįstą HTTP CONNECT metodu ( perdavimas per HTTPS nepalaikomas, nes Squid dar negali transportuoti TLS per TLS). SSL-Bump leidžia užmegzti TLS ryšį su tiksliniu serveriu gavus pirmą perimtą HTTPS užklausą ir gauti jo sertifikatą. Po to „Squid“ naudoja pagrindinio kompiuterio pavadinimą iš tikrojo sertifikato, gauto iš serverio, ir sukuria netikrą sertifikatą, su kuriuo bendraudamas su klientu imituoja prašomą serverį, o duomenims gauti toliau naudoja su tiksliniu serveriu užmegztą TLS ryšį ( kad pakeitimas nesukeltų įspėjimų apie išvestį naršyklėse kliento pusėje, turite pridėti sertifikatą, naudojamą fiktyviems sertifikatams generuoti, prie šakninės sertifikatų saugyklos).
- Pridėtos mark_client_connection ir mark_client_pack direktyvos, skirtos susieti Netfilter žymes (CONNMARK) su kliento TCP ryšiais arba atskirais paketais.
Buvo paskelbti Squid 5.2 ir Squid 4.17 leidimai, kuriuose buvo ištaisyti pažeidžiamumai:
- CVE-2021-28116 – informacijos nutekėjimas apdorojant specialiai sukurtus WCCPv2 pranešimus. Dėl pažeidžiamumo užpuolikas gali sugadinti žinomų WCCP maršrutizatorių sąrašą ir nukreipti srautą iš įgaliotojo serverio klientų į savo pagrindinį kompiuterį. Problema iškyla tik konfigūracijose, kuriose įjungtas WCCPv2 palaikymas ir kai įmanoma suklastoti maršrutizatoriaus IP adresą.
- CVE-2021-41611 – TLS sertifikato tikrinimo problema leidžia pasiekti naudojant nepatikimus sertifikatus.
Šaltinis: opennet.ru