Pēc trīs gadu izstrādes tika prezentēts stabils Squid 5.1 starpniekservera laidiens, kas ir gatavs lietošanai ražošanas sistēmās (izlaidumiem 5.0.x bija beta versiju statuss). Pēc tam, kad 5.x atzaram būs piešķirts stabils statuss, turpmāk tajā tiks veikti tikai ievainojamību un stabilitātes problēmu labojumi, kā arī pieļaujamas nelielas optimizācijas. Jaunu funkciju izstrāde tiks veikta jaunajā eksperimentālajā nozarē 6.0. Iepriekšējās stabilās 4.x filiāles lietotājiem ieteicams plānot migrāciju uz 5.x filiāli.
Galvenie Squid 5 jauninājumi:
- Ieviešot ICAP (Internet Content Adaptation Protocol), ko izmanto integrācijai ar ārējām satura pārbaudes sistēmām, ir pievienots atbalsts datu pievienošanas mehānismam (piekabei), kas ļauj atbildei pievienot papildu galvenes ar metadatiem, kas ievietotas aiz ziņojuma. pamattekstu (piemēram, varat nosūtīt kontrolsummu un informāciju par konstatētajām problēmām).
- Pieprasījumu pāradresēšanā tiek izmantots “Happy Eyeballs” algoritms, kas uzreiz izmanto saņemto IP adresi, negaidot, kamēr tiks atrisinātas visas potenciāli pieejamās IPv4 un IPv6 mērķa adreses. Tā vietā, lai izmantotu iestatījumu "dns_v4_first", lai noteiktu, vai tiek izmantota IPv4 vai IPv6 adrešu saime, tagad tiek ņemta vērā DNS atbildes secība: ja DNS AAAA atbilde tiek saņemta pirmā, gaidot IP adreses atrisināšanu, tad tiks izmantota iegūtā IPv6 adrese. Tādējādi vēlamo adrešu saimes iestatīšana tagad tiek veikta ugunsmūra, DNS vai startēšanas līmenī, izmantojot opciju “--disable-ipv6”. Ierosinātās izmaiņas ļauj mums paātrināt TCP savienojumu iestatīšanas laiku un samazināt DNS atrisināšanas aizkaves ietekmi uz veiktspēju.
- Lai izmantotu direktīvā "external_acl", ir pievienots apdarinātājs "ext_kerberos_sid_group_acl" autentifikācijai ar grupas pārbaudi Active Directory, izmantojot Kerberos. Lai vaicātu grupas nosaukumu, izmantojiet OpenLDAP pakotnes nodrošināto utilītu ldapsearch.
- Atbalsts Berkeley DB formātam ir pārtraukts licencēšanas problēmu dēļ. Berkeley DB 5.x filiāle nav uzturēta vairākus gadus un joprojām ir ar neaizlāpotām ievainojamībām, un pāreju uz jaunākiem laidieniem novērš licences maiņa uz AGPLv3, kuras prasības attiecas arī uz lietojumprogrammām, kas izmanto BerkeleyDB formātā bibliotēka — Squid tiek piegādāts saskaņā ar GPLv2 licenci, un AGPL nav saderīgs ar GPLv2. Berkeley DB vietā projekts tika pārcelts uz TrivialDB DBVS izmantošanu, kas atšķirībā no Berkeley DB ir optimizēta vienlaicīgai paralēlai piekļuvei datu bāzei. Pagaidām tiek saglabāts Berkeley DB atbalsts, taču apstrādātāji "ext_session_acl" un "ext_time_quota_acl" tagad iesaka lietot krātuves veidu "libtdb", nevis "libdb".
- Pievienots atbalsts CDN-Loop HTTP galvenei, kas definēta RFC 8586, kas ļauj noteikt cilpas, izmantojot satura piegādes tīklus (galvene nodrošina aizsardzību pret situācijām, kad pieprasījums novirzīšanas procesā starp CDN kāda iemesla dēļ atgriežas atpakaļ uz oriģināls CDN, veidojot nebeidzamu cilpu).
- SSL-Bump mehānisms, kas ļauj pārtvert šifrētu HTTPS sesiju saturu, ir pievienojis atbalstu viltotu (atkārtoti šifrētu) HTTPS pieprasījumu novirzīšanai caur citiem cache_peer norādītajiem starpniekserveriem, izmantojot parastu tuneli, kura pamatā ir HTTP CONNECT metode ( pārraide, izmantojot HTTPS, netiek atbalstīta, jo Squid vēl nevar pārsūtīt TLS TLS ietvaros). SSL-Bump ļauj izveidot TLS savienojumu ar mērķa serveri pēc pirmā pārtvertā HTTPS pieprasījuma saņemšanas un iegūt tā sertifikātu. Pēc tam Squid izmanto resursdatora nosaukumu no reālā sertifikāta, kas saņemts no servera, un izveido fiktīvu sertifikātu, ar kuru mijiedarbojoties ar klientu atdarina pieprasīto serveri, vienlaikus turpinot izmantot TLS savienojumu, kas izveidots ar mērķa serveri, lai saņemtu datus ( lai aizstāšana neradītu izejas brīdinājumus pārlūkprogrammās klienta pusē, saknes sertifikātu krātuvei ir jāpievieno sertifikāts, kas tiek izmantots fiktīvu sertifikātu ģenerēšanai).
- Pievienotas mark_client_connection un mark_client_pack direktīvas, lai saistītu Netfilter atzīmes (CONNMARK) ar klienta TCP savienojumiem vai atsevišķām paketēm.
Tika publicēti Squid 5.2 un Squid 4.17 laidieni, kuros tika novērstas ievainojamības:
- CVE-2021-28116 — informācijas noplūde, apstrādājot īpaši izstrādātus WCCPv2 ziņojumus. Ievainojamība ļauj uzbrucējam sabojāt zināmo WCCP maršrutētāju sarakstu un novirzīt trafiku no starpniekservera klientiem uz to resursdatoru. Problēma parādās tikai konfigurācijās ar iespējotu WCCPv2 atbalstu un gadījumos, kad ir iespējams viltot maršrutētāja IP adresi.
- CVE-2021-41611 — TLS sertifikāta verifikācijas problēma ļauj piekļūt, izmantojot neuzticamus sertifikātus.
Avots: opennet.ru