Selepas tiga tahun pembangunan, keluaran stabil pelayan proksi Squid 5.1 telah dibentangkan, sedia untuk digunakan pada sistem pengeluaran (keluaran 5.0.x mempunyai status versi beta). Selepas cawangan 5.x telah diberikan status stabil, mulai sekarang hanya pembetulan untuk kelemahan dan masalah kestabilan akan dibuat di dalamnya, dan pengoptimuman kecil juga dibenarkan. Pembangunan ciri baharu akan dijalankan dalam cawangan percubaan baharu 6.0. Pengguna cawangan 4.x stabil sebelumnya dinasihatkan untuk merancang untuk berhijrah ke cawangan 5.x.
Inovasi utama dalam Sotong 5:
- Pelaksanaan ICAP (Internet Content Adaptation Protocol), yang digunakan untuk penyepaduan dengan sistem pengesahan kandungan luaran, telah menambah sokongan untuk mekanisme lampiran data (treler), yang membolehkan anda melampirkan pengepala tambahan dengan metadata pada respons, diletakkan selepas mesej body (contohnya, anda boleh menghantar checksum dan butiran tentang masalah yang dikenal pasti).
- Apabila mengubah hala permintaan, algoritma "Happy Eyeballs" digunakan, yang dengan serta-merta menggunakan alamat IP yang diterima, tanpa menunggu semua alamat sasaran IPv4 dan IPv6 yang berpotensi tersedia untuk diselesaikan. Daripada mengambil kira tetapan "dns_v4_first" untuk menentukan sama ada keluarga alamat IPv4 atau IPv6 digunakan, susunan respons DNS kini diambil kira: jika respons AAAA DNS tiba dahulu semasa menunggu alamat IP diselesaikan, maka alamat IPv6 yang terhasil akan digunakan. Oleh itu, penetapan keluarga alamat pilihan kini dilakukan di firewall, DNS atau peringkat permulaan dengan pilihan "--disable-ipv6". Perubahan yang dicadangkan membolehkan kami mempercepatkan masa persediaan sambungan TCP dan mengurangkan kesan prestasi kelewatan semasa resolusi DNS.
- Untuk digunakan dalam arahan "external_acl", pengendali "ext_kerberos_sid_group_acl" telah ditambahkan untuk pengesahan dengan semakan kumpulan dalam Active Directory menggunakan Kerberos. Untuk menanyakan nama kumpulan, gunakan utiliti ldapsearch yang disediakan oleh pakej OpenLDAP.
- Sokongan untuk format Berkeley DB telah ditamatkan kerana isu pelesenan. Cawangan Berkeley DB 5.x tidak diselenggarakan selama beberapa tahun dan kekal dengan kelemahan yang tidak ditambal, dan peralihan kepada keluaran yang lebih baharu dihalang oleh perubahan lesen kepada AGPLv3, yang keperluannya juga terpakai kepada aplikasi yang menggunakan BerkeleyDB dalam bentuk perpustakaan - Squid dibekalkan di bawah lesen GPLv2 dan AGPL tidak serasi dengan GPLv2. Daripada Berkeley DB, projek itu dipindahkan kepada penggunaan DBMS TrivialDB, yang, tidak seperti Berkeley DB, dioptimumkan untuk akses selari serentak kepada pangkalan data. Sokongan Berkeley DB dikekalkan buat masa ini, tetapi pengendali "ext_session_acl" dan "ext_time_quota_acl" kini mengesyorkan menggunakan jenis storan "libtdb" dan bukannya "libdb".
- Sokongan tambahan untuk pengepala HTTP CDN-Gelung, yang ditakrifkan dalam RFC 8586, yang membolehkan anda mengesan gelung apabila menggunakan rangkaian penghantaran kandungan (pengepala memberikan perlindungan terhadap situasi apabila permintaan dalam proses mengubah hala antara CDN atas sebab tertentu kembali ke CDN asal, membentuk gelung tidak berkesudahan ).
- Mekanisme SSL-Bump, yang membolehkan anda memintas kandungan sesi HTTPS yang disulitkan, telah menambah sokongan untuk mengubah hala permintaan HTTPS yang dipalsukan (disulitkan semula) melalui pelayan proksi lain yang dinyatakan dalam cache_peer, menggunakan terowong biasa berdasarkan kaedah HTTP CONNECT ( penghantaran melalui HTTPS tidak disokong, kerana Squid belum boleh mengangkut TLS dalam TLS). SSL-Bump membolehkan anda mewujudkan sambungan TLS dengan pelayan sasaran apabila menerima permintaan HTTPS yang dipintas pertama dan mendapatkan sijilnya. Selepas ini, Squid menggunakan nama hos daripada sijil sebenar yang diterima daripada pelayan dan mencipta sijil tiruan, yang dengannya ia meniru pelayan yang diminta apabila berinteraksi dengan pelanggan, sambil terus menggunakan sambungan TLS yang ditubuhkan dengan pelayan sasaran untuk menerima data ( supaya penggantian tidak membawa kepada amaran keluaran dalam penyemak imbas di sisi pelanggan, anda perlu menambah sijil anda yang digunakan untuk menjana sijil rekaan ke kedai sijil akar).
- Menambah arahan mark_client_connection dan mark_client_pack untuk mengikat tanda Netfilter (CONNMARK) kepada sambungan TCP klien atau paket individu.
Panas pada tumit mereka, keluaran Squid 5.2 dan Squid 4.17 telah diterbitkan, di mana kelemahan telah diperbaiki:
- CVE-2021-28116 - Kebocoran maklumat semasa memproses mesej WCCPv2 yang dibuat khas. Kerentanan membolehkan penyerang merosakkan senarai penghala WCCP yang diketahui dan mengubah hala trafik daripada klien pelayan proksi ke hos mereka. Masalahnya hanya muncul dalam konfigurasi dengan sokongan WCCPv2 didayakan dan apabila mungkin untuk memalsukan alamat IP penghala.
- CVE-2021-41611 - Isu dalam pengesahan sijil TLS membenarkan akses menggunakan sijil yang tidak dipercayai.
Sumber: opennet.ru