ProHoster > blog > aħbarijiet fuq l-internet > Rilaxx stabbli tas-server proxy Squid 5

Rilaxx stabbli tas-server proxy Squid 5

Wara tliet snin ta 'żvilupp, ġie ppreżentat rilaxx stabbli tas-server proxy Squid 5.1, lest għall-użu fuq sistemi ta' produzzjoni (rilaxxi 5.0.x kellhom l-istatus ta 'verżjonijiet beta). Wara li l-fergħa 5.x tkun ingħatat status stabbli, minn issa 'l quddiem se jsiru biss soluzzjonijiet għall-vulnerabbiltajiet u problemi ta' stabbiltà, u ottimizzazzjonijiet minuri huma permessi wkoll. L-iżvilupp ta 'karatteristiċi ġodda se jitwettaq fil-fergħa sperimentali l-ġdida 6.0. L-utenti tal-fergħa 4.x stabbli preċedenti huma avżati biex jippjanaw li jemigraw lejn il-fergħa 5.x.

Innovazzjonijiet ewlenin fi Squid 5:

  • L-implimentazzjoni tal-ICAP (Internet Content Adattament Protocol), użat għall-integrazzjoni ma’ sistemi esterni ta’ verifika tal-kontenut, żiedet appoġġ għal mekkaniżmu ta’ sekwestru tad-dejta (karru), li jippermettilek tehmeż headers addizzjonali b’metadejta mar-rispons, imqiegħda wara l-messaġġ korp (pereżempju, tista’ tibgħat checksum u dettalji dwar il-problemi identifikati).
  • Meta t-talbiet jiġu indirizzati mill-ġdid, jintuża l-algoritmu "Happy Eyeballs", li immedjatament juża l-indirizz IP riċevut, mingħajr ma jistenna li l-indirizzi tal-mira IPv4 u IPv6 potenzjalment disponibbli kollha jiġu solvuti. Minflok ma tuża l-issettjar "dns_v4_first" biex tiddetermina jekk tintużax familja ta' indirizzi IPv4 jew IPv6, issa titqies l-ordni tar-rispons tad-DNS: jekk ir-rispons AAAA tad-DNS tasal l-ewwel meta tistenna indirizz IP biex isolvi, allura l- se jintuża l-indirizz IPv6 li jirriżulta. Għalhekk, l-issettjar tal-familja ta 'indirizzi preferuta issa jsir fil-firewall, DNS jew livell tal-istartjar bl-għażla "--disable-ipv6". Il-bidla proposta tippermettilna nħaffu l-ħin tas-setup tal-konnessjonijiet TCP u nnaqqsu l-impatt fuq il-prestazzjoni tad-dewmien waqt ir-riżoluzzjoni tad-DNS.
  • Għall-użu fid-direttiva "external_acl", il-handler "ext_kerberos_sid_group_acl" ġie miżjud għall-awtentikazzjoni bl-iċċekkjar tal-grupp fl-Active Directory bl-użu ta' Kerberos. Biex tistaqsi l-isem tal-grupp, uża l-utilità ldapsearch ipprovduta mill-pakkett OpenLDAP.
  • L-appoġġ għall-format Berkeley DB ġie deprecato minħabba kwistjonijiet ta 'liċenzjar. Il-fergħa Berkeley DB 5.x ma nżammitx għal diversi snin u tibqa' b'vulnerabbiltajiet mhux patched, u t-tranżizzjoni għal rilaxxi aktar ġodda hija evitata minn bidla fil-liċenzja għal AGPLv3, li r-rekwiżiti tagħha japplikaw ukoll għal applikazzjonijiet li jużaw BerkeleyDB fil-forma ta' librerija - Squid huwa fornut taħt il-liċenzja GPLv2, u AGPL mhix kompatibbli mal-GPLv2. Minflok Berkeley DB, il-proġett ġie trasferit għall-użu tat-TrivialDB DBMS, li, b'differenza Berkeley DB, huwa ottimizzat għal aċċess parallel simultanju għad-database. L-appoġġ għal Berkeley DB jinżamm għalissa, iżda l-handlers "ext_session_acl" u "ext_time_quota_acl" issa jirrakkomandaw li tuża t-tip ta 'ħażna "libtdb" minflok "libdb".
  • Appoġġ miżjud għall-header HTTP CDN-Loop, definit fl-RFC 8586, li jippermettilek li tiskopri loops meta tuża netwerks ta 'kunsinna ta' kontenut (l-header jipprovdi protezzjoni kontra sitwazzjonijiet meta talba fil-proċess ta 'ridirezzjoni bejn CDNs għal xi raġuni terġa' lura għall- CDN oriġinali, li jiffurmaw linja bla tarf).
  • Il-mekkaniżmu SSL-Bump, li jippermettilek li tinterċetta l-kontenut ta' sessjonijiet HTTPS encrypted, żied appoġġ għar-ridirezzjoni ta' talbiet HTTPS spoofed (kriptjati mill-ġdid) permezz ta' proxy servers oħra speċifikati f'cache_peer, bl-użu ta' mina regolari bbażata fuq il-metodu HTTP CONNECT ( it-trażmissjoni permezz ta' HTTPS mhijiex appoġġjata, peress li Squid għadu ma jistax jittrasporta TLS fi ħdan TLS). SSL-Bump jippermettilek li tistabbilixxi konnessjoni TLS mas-server fil-mira malli tirċievi l-ewwel talba HTTPS interċettata u tikseb iċ-ċertifikat tagħha. Wara dan, Squid juża l-isem tal-host miċ-ċertifikat reali riċevut mis-server u joħloq ċertifikat finta, li bih jimita s-server mitlub meta jinteraġixxi mal-klijent, filwaqt li jkompli juża l-konnessjoni TLS stabbilita mas-server fil-mira biex jirċievi dejta ( sabiex is-sostituzzjoni ma twassalx għat-twissijiet tal-output fil-browsers fuq in-naħa tal-klijent, trid iżżid iċ-ċertifikat tiegħek użat biex jiġġenera ċertifikati fittizji fil-maħżen taċ-ċertifikati tal-għeruq).
  • Żiedu d-direttivi mark_client_connection u mark_client_pack biex jorbtu marki Netfilter (CONNMARK) mal-konnessjonijiet TCP tal-klijenti jew pakketti individwali.

Ġew ippubblikati fuq l-għarqbejn tagħhom, ir-rilaxxi ta 'Squid 5.2 u Squid 4.17, li fihom ġew iffissati l-vulnerabbiltajiet:

  • CVE-2021-28116 - Tnixxija ta' informazzjoni meta jiġu pproċessati messaġġi WCCPv2 maħdumin apposta. Il-vulnerabbiltà tippermetti lil attakkant jikkorrompi l-lista ta 'routers WCCP magħrufa u jidderieġi mill-ġdid it-traffiku mill-klijenti tas-server proxy għall-ospitant tagħhom. Il-problema tidher biss f'konfigurazzjonijiet bl-appoġġ WCCPv2 attivat u meta jkun possibbli li l-indirizz IP tar-router jiġi falsifikat.
  • CVE-2021-41611 - Kwistjoni fil-verifika taċ-ċertifikat TLS tippermetti aċċess bl-użu ta' ċertifikati mhux affidabbli.

Sors: opennet.ru

Żid kumment