По три години развој, претставено е стабилно издание на прокси-серверот Squid 5.1, подготвено за употреба на производствените системи (изданијата 5.0.x имаа статус на бета верзии). Откако гранката 5.x ќе добие стабилен статус, отсега во неа ќе се прават само поправки за пропусти и проблеми со стабилноста, а дозволени се и мали оптимизации. Развојот на нови функции ќе се изврши во новата експериментална гранка 6.0. Корисниците на претходната стабилна гранка 4.x се советуваат да планираат да мигрираат во гранката 5.x.
Клучни иновации во Squid 5:
- Имплементацијата на ICAP (Internet Content Adaptation Protocol), што се користи за интеграција со надворешни системи за верификација на содржина, додаде поддршка за механизам за прикачување податоци (приколка), кој ви овозможува да прикачите дополнителни заглавија со метаподатоци на одговорот, поставени по пораката тело (на пример, можете да испратите контролна сума и детали за идентификуваните проблеми).
- При пренасочување на барањата, се користи алгоритмот „Happy Eyeballs“, кој веднаш ја користи добиената IP адреса, без да се чека да се решат сите потенцијално достапни IPv4 и IPv6 целни адреси. Наместо да се користи поставката „dns_v4_first“ за да се утврди дали се користи фамилија на адреси IPv4 или IPv6, сега се зема предвид редоследот на DNS одговорот: ако одговорот DNS AAAA пристигне прв кога се чека да се реши IP адресата, тогаш ќе се користи добиената IPv6 адреса. Така, поставувањето на претпочитаното семејство на адреси сега се прави на ниво на заштитен ѕид, DNS или стартување со опцијата „--disable-ipv6“. Предложената промена ни овозможува да го забрзаме времето за поставување на TCP конекциите и да го намалиме влијанието на перформансите на доцнењата за време на резолуцијата на DNS.
- За употреба во директивата „external_acl“, управувачот „ext_kerberos_sid_group_acl“ е додаден за автентикација со групна проверка во Active Directory користејќи Kerberos. За да го побарате името на групата, користете ја алатката ldapsearch обезбедена од пакетот OpenLDAP.
- Поддршката за форматот на Беркли DB е застарена поради проблеми со лиценцирањето. Филијалата на Berkeley DB 5.x не се одржува веќе неколку години и останува со незакрпени пропусти, а преминот кон поновите изданија е спречен со промена на лиценцата во AGPLv3, чии барања важат и за апликации кои користат BerkeleyDB во форма на библиотека - Squid се доставува под лиценцата GPLv2, а AGPL не е компатибилен со GPLv2. Наместо Berkeley DB, проектот беше префрлен во употреба на TrivialDB DBMS, кој, за разлика од Berkeley DB, е оптимизиран за истовремен паралелен пристап до базата на податоци. Поддршката на Berkeley DB засега е задржана, но ракувачите „ext_session_acl“ и „ext_time_quota_acl“ сега препорачуваат користење на типот на складирање „libtdb“ наместо „libdb“.
- Додадена е поддршка за заглавието на CDN-Loop HTTP, дефинирано во RFC 8586, што ви овозможува да откриете јамки кога користите мрежи за испорака на содржина (заглавието обезбедува заштита од ситуации кога барањето во процесот на пренасочување помеѓу CDN од некоја причина се враќа назад во оригинален CDN, формирајќи бескрајна јамка).
- Механизмот SSL-Bump, кој ви овозможува да ја пресретнете содржината на шифрирани HTTPS сесии, додаде поддршка за пренасочување на лажни (ре-шифрирани) HTTPS барања преку други прокси-сервери наведени во cache_peer, користејќи редовен тунел базиран на методот HTTP CONNECT ( преносот преку HTTPS не е поддржан, бидејќи Squid сè уште не може да транспортира TLS во TLS). SSL-Bump ви овозможува да воспоставите TLS врска со целниот сервер по добивањето на првото пресретнато барање HTTPS и да го добиете неговиот сертификат. После ова, Squid го користи името на домаќинот од вистинскиот сертификат добиен од серверот и создава лажен сертификат, со кој го имитира бараниот сервер при интеракција со клиентот, додека продолжува да ја користи TLS врската воспоставена со целниот сервер за примање податоци ( за да не доведе замената до излезни предупредувања во прелистувачите на страната на клиентот, треба да го додадете вашиот сертификат што се користи за генерирање на фиктивни сертификати во продавницата за root сертификати).
- Додадени се директивите mark_client_connection и mark_client_pack за поврзување на ознаките на Netfilter (CONNMARK) со TCP конекции на клиентот или поединечни пакети.
Топло на нивните потпетици беа објавени изданијата на Squid 5.2 и Squid 4.17 во кои беа поправени пропустите:
- CVE-2021-28116 - Протекување информации при обработка на специјално изработени WCCPv2 пораки. Ранливоста му дозволува на напаѓачот да ја корумпира листата на познати WCCP рутери и да го пренасочи сообраќајот од клиентите на прокси-серверот кон нивниот домаќин. Проблемот се појавува само во конфигурации со овозможена поддршка за WCCPv2 и кога е можно да се измами IP адресата на рутерот.
- CVE-2021-41611 - Проблем во верификацијата на сертификатот TLS дозволува пристап со помош на недоверливи сертификати.
Извор: opennet.ru