Гурван жилийн турш хөгжүүлсний дараа Squid 5.1 прокси серверийн тогтвортой хувилбарыг танилцуулж, үйлдвэрлэлийн системд ашиглахад бэлэн болсон (5.0.x хувилбарууд нь бета хувилбарын статустай байсан). 5.x салбар нь тогтвортой статустай болсны дараа одооноос зөвхөн эмзэг байдал, тогтвортой байдлын асуудлыг засах бөгөөд бага зэргийн оновчлолыг хийх боломжтой. Шинэ боломжуудыг хөгжүүлэх нь туршилтын шинэ салбар 6.0-д хийгдэнэ. Өмнөх тогтвортой 4.x салбарын хэрэглэгчид 5.x салбар руу шилжихээр төлөвлөж байхыг зөвлөж байна.
Squid 5-ын гол шинэчлэлүүд:
- Гадны контент баталгаажуулах системтэй нэгтгэхэд ашигладаг ICAP (Интернет контент дасан зохицох протокол) -ийн хэрэгжилт нь мессежийн дараа байрлуулсан хариуд мета өгөгдөл бүхий нэмэлт толгойг хавсаргах боломжийг олгодог өгөгдөл хавсаргах механизм (чиргүүлийг) нэмсэн. бие (жишээ нь, та шалгах нийлбэр болон тодорхойлсон асуудлын талаарх дэлгэрэнгүй мэдээллийг илгээж болно).
- Хүсэлтийг дахин чиглүүлэхдээ бүх боломжит IPv4 болон IPv6 зорилтот хаягуудыг шийдвэрлэхийг хүлээлгүйгээр хүлээн авсан IP хаягийг шууд ашигладаг "Аз жаргалтай нүдний алим" алгоритмыг ашигладаг. IPv4 эсвэл IPv4 хаягийн бүлгийг ашиглаж байгаа эсэхийг тодорхойлохын тулд "dns_v6_first" тохиргоог ашиглахын оронд DNS хариултын дарааллыг харгалзан үзэх болно: хэрэв IP хаяг шийдэгдэхийг хүлээх үед DNS AAAA хариулт эхлээд ирвэл, дараа нь үүссэн IPv6 хаягийг ашиглана. Тиймээс, сонгосон хаягийн бүлгийг галт хана, DNS эсвэл эхлүүлэх түвшинд "--disable-ipv6" сонголтоор тохируулж болно. Санал болгож буй өөрчлөлт нь TCP холболтыг тохируулах хугацааг хурдасгах, DNS-ийн нягтралын явцад саатал гарахад үзүүлэх нөлөөллийг багасгах боломжийг бидэнд олгоно.
- "external_acl" зааварт ашиглахын тулд "ext_kerberos_sid_group_acl" зохицуулагчийг Kerberos ашиглан Active Directory-д бүлэг шалгах замаар баталгаажуулах зорилгоор нэмсэн. Бүлгийн нэрийг асуухын тулд OpenLDAP багцаас өгсөн ldapsearch хэрэгслийг ашиглана уу.
- Лицензийн асуудлаас болж Berkeley DB форматыг дэмжихээ больсон. Berkeley DB 5.x салбар нь хэдэн жилийн турш засвар хийгээгүй бөгөөд засварлагдаагүй сул талуудтай хэвээр байгаа бөгөөд шинэ хувилбар руу шилжихээс AGPLv3 болгон лицензийн өөрчлөлтөөс сэргийлж, BerkeleyDB-г дараах хэлбэрээр ашигладаг програмуудад тавигдах шаардлага мөн адил хамаарна. номын сан - Squid-ийг GPLv2 лицензийн дагуу нийлүүлдэг бөгөөд AGPL нь GPLv2-тэй таарахгүй. Berkeley DB-ийн оронд төслийг TrivialDB DBMS-ийн хэрэглээнд шилжүүлсэн бөгөөд энэ нь Berkeley DB-ээс ялгаатай нь мэдээллийн санд нэгэн зэрэг зэрэгцэн ороход зориулагдсан. Berkeley DB-н дэмжлэг одоогоор хадгалагдаж байгаа боловч "ext_session_acl" болон "ext_time_quota_acl" зохицуулагчид одоо "libdb"-ийн оронд "libtdb" хадгалах төрлийг ашиглахыг зөвлөж байна.
- RFC 8586-д тодорхойлсон CDN-Loop HTTP толгой хэсэгт дэмжлэг нэмсэн бөгөөд энэ нь контент дамжуулах сүлжээг ашиглах үед давталтыг илрүүлэх боломжийг олгодог (толгой нь CDN-ийн хооронд дахин чиглүүлэх явцад ямар нэгэн шалтгаанаар хүсэлт буцаж ирэх нөхцөл байдлаас хамгаалах боломжийг олгодог. анхны CDN, төгсгөлгүй гогцоо үүсгэдэг).
- Шифрлэгдсэн HTTPS сешнүүдийн агуулгыг таслан зогсоох боломжийг олгодог SSL-Bump механизм нь HTTP CONNECT арга дээр суурилсан ердийн туннелийг ашиглан cache_peer-д заасан бусад прокси серверүүдээр дамжуулан хуурамч (дахин шифрлэгдсэн) HTTPS хүсэлтийг дахин чиглүүлэх дэмжлэгийг нэмсэн. Squid нь TLS дотор TLS-ийг зөөвөрлөх боломжгүй тул HTTPS-ээр дамжуулахыг дэмждэггүй). SSL-Bump нь эхний саатуулсан HTTPS хүсэлтийг хүлээн авснаар зорилтот сервертэй TLS холболт үүсгэж, гэрчилгээ авах боломжийг танд олгоно. Үүний дараа Squid нь серверээс хүлээн авсан жинхэнэ сертификатын хостын нэрийг ашиглаж, үйлчлүүлэгчтэй харилцахдаа хүссэн серверийг дуурайлган, өгөгдөл хүлээн авахын тулд зорилтот сервертэй тогтоосон TLS холболтыг үргэлжлүүлэн ашигладаг хуурамч гэрчилгээ үүсгэдэг. орлуулалт нь үйлчлүүлэгч талын хөтчүүдийн гаралтын анхааруулгад хүргэхгүйн тулд та хуурамч гэрчилгээг үүсгэхэд ашигласан гэрчилгээгээ эх гэрчилгээний дэлгүүрт нэмэх хэрэгтэй).
- Netfilter тэмдэглэгээг (CONNMARK) үйлчлүүлэгчийн TCP холболтууд эсвэл тусдаа пакетуудтай холбохын тулд mark_client_connection болон mark_client_pack удирдамжийг нэмсэн.
Тэдний өсгий дээр халуухан Squid 5.2 болон Squid 4.17-ийн хувилбарууд хэвлэгдсэн бөгөөд эдгээрийн сул талуудыг зассан:
- CVE-2021-28116 - Тусгайлан боловсруулсан WCCPv2 мессежийг боловсруулах үед мэдээлэл алдагдсан. Энэ эмзэг байдал нь халдагчид мэдэгдэж байгаа WCCP чиглүүлэгчдийн жагсаалтыг эвдэж, прокси серверийн үйлчлүүлэгчээс өөрийн хост руу урсгалыг дахин чиглүүлэх боломжийг олгодог. Асуудал нь зөвхөн WCCPv2 дэмжлэгийг идэвхжүүлсэн тохиргоонд болон чиглүүлэгчийн IP хаягийг хууран мэхлэх боломжтой үед л гарч ирдэг.
- CVE-2021-41611 - TLS сертификатын баталгаажуулалтын асуудал нь итгэмжгүй гэрчилгээ ашиглан хандах боломжийг олгодог.
Эх сурвалж: opennet.ru