áá¯á¶ážááŸá áºááŒá¬ ááœá¶á·ááŒáá¯ážááá¯ážáááºááŒá®ážáá±á¬ááºá Squid 5.1 ááá±á¬ááºá á®áá¬áá¬á áááºááŒáááºáá±á¬ááœááºááŸáááŸá¯ááᯠááŒááá²á·ááŒá®áž áá¯ááºáá¯ááºááŸá¯á áá áºáá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯ááẠá¡ááá·áºááŒá áºáá±ááŒá® (áá¯ááºáá±ááŸá¯ 5.0.x ááœáẠáá®áá¬áá¬ážááŸááºážáá»á¬ážáá«ááŸááááº)á 5.x áá¬áááœá²á¡á¬áž áááºááŒáááºáá±á¬ á¡áá±á¡áá¬ážááᯠáá±ážá¡ááºááŒá®ážáá±á¬ááºá ááá¯ááŸá ááŒá®áž á¡á¬ážáááºážáá»ááºáá»á¬ážááŸáá·áº áááºááŒáááºááŸá¯ááá¯ááºáᬠááŒá¿áá¬áá»á¬ážá¡ááœáẠááŒá¯ááŒááºááŸá¯áá»á¬ážáᬠááŒá¯áá¯ááºáááºááŒá áºááŒá®ážá á¡áá±ážá á¬áž ááá¯ááá¯áá±á¬ááºážááœááºá¡á±á¬áẠáá¯ááºáá±á¬ááºááŸá¯áá»á¬ážááá¯áááºáž ááœáá·áºááŒá¯áá¬ážáááºá á¡ááºá¹áá«áááºá¡áá áºáá»á¬ážá ááœá¶á·ááŒáá¯ážááá¯ážáááºááŸá¯ááᯠá ááºážáááºááŸá¯áá¬áááœá²áá Ạ6.0 ááœáẠáá¯ááºáá±á¬ááºáááºááŒá áºáááºá ááááºáááºááŒáááºáá±á¬ 4.x áá¬áááœá²ááᯠá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááẠ5.x áá¬áááœá²ááá¯á· ááŒá±á¬ááºážááœáŸá±á·ááẠá á®á ááºááẠá¡ááŒá¶ááŒá¯áá¬ážáááºá
Squid 5 ááœáẠá¡ááá áá®ááœááºáááºážáá áºááŸá¯áá»á¬áž
- ááŒááºáá¡ááŒá±á¬ááºážá¡áá¬á áá á áºááŒááºážá áá áºáá»á¬ážááŸáá·áº áá±á«ááºážá ááºážáááºá¡ááœáẠá¡áá¯á¶ážááŒá¯ááá·áº ICAP (Internet Content Adaptation Protocol) ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºáá¬ááœáẠáááºáá±á·áá»áºááŒá®ážáá±á¬áẠáá¯á¶á·ááŒááºááŸá¯ááœáẠáááºáá¬áá±áá¬ááŒáá·áº áááºáá±á¬ááºážááá·áºáá¬ážááá·áº áá±áá¬áá°ážááœá²ááŸá¯ááá¹ááá¬áž (áá±á¬ááºááœá²) á¡ááœáẠáá¶á·ááá¯ážááŸá¯ áááºáá±á¬ááºážááá·áºááœááºážáá¬ážáááºá body (á¥ááá¬á áááºááẠchecksum ááŸáá·áº áá±á¬áºáá¯ááºáá¬ážáá±á¬ ááŒá¿áá¬áá»á¬ážá¡ááŒá±á¬ááºážá¡áá±ážá áááºá¡áá»ááºá¡áááºáá»á¬ážááᯠáá±ážááá¯á·ááá¯ááºáááº)á
- áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠááŒááºááœáŸááºážááá·áºá¡áá«ááœááºá áááŸáááá¯ááºáá±á¬ IPv4 ááŸáá·áº IPv6 áá áºááŸááºááááºá á¬á¡á¬ážáá¯á¶ážááᯠááŒá±ááŸááºážááẠáá á±á¬áá·áºááá¯ááºážáá² áááºáá¶áááŸááá¬ážáá±á¬ IP ááááºá á¬ááᯠáá»ááºáá»ááºážá¡áá¯á¶ážááŒá¯ááá·áº "Happy Eyeballs" algorithm ááᯠá¡áá¯á¶ážááŒá¯áá«áááºá IPv4 ááá¯á·ááá¯áẠIPv4 ááááºá ᬠáááá¬ážá á¯ááᯠá¡áá¯á¶ážááŒá¯ááŒááºáž ááŸáá áááŸá áá¯á¶ážááŒááºááẠ"dns_v6_first" áááºáááºááᯠááá·áºááœááºážá ááºážá á¬ážááá·áºá¡á á¬ážá ááŒá±ááŸááºážááẠIP ááááºá á¬ááᯠá á±á¬áá·áºááá¯ááºážáá±áá»áááºááœáẠDNS áá¯á¶á·ááŒááºááŸá¯á á¡á á®á¡á á¥áºááᯠááá·áºááœááºážá ááºážá á¬ážáááºá ááá¯á·áá±á¬áẠáááŸááá¬áá±á¬ IPv6 ááááºá á¬ááᯠá¡áá¯á¶ážááŒá¯áá«áááºá ááá¯á·ááŒá±á¬áá·áºá ááŸá áºáááºáá¬ááááºá á¬áááá¬ážá á¯ááᯠ"--disable-ipv6" ááœá±ážáá»ááºááŸá¯ááŒáá·áº firewallá DNS ááá¯á·ááá¯áẠstartup á¡ááá·áºááœáẠááŒá®ážáá«ááŒá®á á¡ááá¯ááŒá¯áá¬ážáá±á¬ááŒá±á¬ááºážáá²ááŸá¯ááẠáá»áœááºá¯ááºááá¯á·á¡á¬áž TCP áá»áááºáááºááŸá¯áá»á¬ážá áááºáááºáá»áááºááᯠá¡ááŸáááºááŒáŸáá·áºáááºááŸáá·áº DNS ááŒá±ááŸááºážááŸá¯á¡ááœááºáž ááŸá±á¬áá·áºááŸá±ážááŸá¯áá»á¬ážá á áœááºážáá±á¬ááºáááºáááºáá±á¬ááºááŸá¯ááᯠáá»áŸá±á¬á·áá»ááá¯ááºá á±áá«áááºá
- "external_acl" ááœáŸááºááŒá¬ážáá»ááºááœáẠá¡áá¯á¶ážááŒá¯áááºá¡ááœááºá Kerberos ááᯠá¡áá¯á¶ážááŒá¯á Active Directory ááœáẠá¡ááœá²á·á á áºáá±ážááŒááºážááŒáá·áº á á áºááŸááºááŒá±á¬ááºážá¡áááºááŒá¯áááºá¡ááœáẠ"ext_kerberos_sid_group_acl" ááá¯ááºááœááºáá°ááᯠáá±á«ááºážááá·áºáá¬ážáá«áááºá á¡ááœá²á·á¡áááºááᯠáá±ážááŒááºážááẠOpenLDAP áááºáá±á·áá»áºá០áá¶á·ááá¯ážáá±ážááá·áº ldapsearch utility ááᯠá¡áá¯á¶ážááŒá¯áá«á
- ááá¯ááºá ááºááŒá¿áá¬áá»á¬ážááŒá±á¬áá·áº Berkeley DB áá±á¬áºáááºá¡ááœáẠáá¶á·ááá¯ážááŸá¯ááᯠáááºááá·áºáá¬ážáááºá Berkeley DB 5.x áá¬áááœá²ááᯠááŸá áºá¡áá±á¬áºááŒá¬ áááááºážááááºážáá¬ážááá±ážáá² ááŒá¯ááŒááºááœááºážáá¶áá¬ážáá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬ážááŒáá·áº áááºáááºáááºááŸááá±ááŒá®áž á¡áá áºááœááºááŸáááŸá¯áá»á¬ážááá¯á· áá°ážááŒá±á¬ááºážááŒááºážááᯠAGPLv3 ááá¯á· ááá¯ááºá ááºááŒá±á¬ááºážáá²ááŸá¯ááŒáá·áº áá¬ážáá®ážáá¬ážááŒá®ážá BerkeleyDB áá¯á¶á á¶ááŒáá·áº BerkeleyDB ááᯠá¡áá¯á¶ážááŒá¯ááá·áº á¡ááá®áá±ážááŸááºážáá»á¬ážááŸáá·áºáááºáž áááºááá¯ááºááá·áº ááá¯á¡ááºáá»ááºáá»á¬ážá á á¬ááŒáá·áºááá¯ááºáá áºáᯠ- Squid ááᯠGPLv2 ááá¯ááºá ááºá¡á±á¬ááºááœáẠáá±á¬ááºáá¶á·áá±ážáá¬ážááŒá®áž AGPL ááẠGPLv2 ááŸáá·áº ááá¯ááºáá®ááŸá¯áááŸááá«á Berkeley DB á¡á á¬ážá ááá±á¬áá»ááºááᯠBerkeley DB ááŸáá·áºááá°áá² áá±áá¬áá±á·á áºááá¯á· áááŒáá¯ááºáááºá¡ááŒáá¯ááºáááºáá±á¬ááºááœáá·áºá¡ááœáẠá¡áá±á¬ááºážáá¯á¶ážááŒá áºá¡á±á¬ááºááŒá¯áá¯ááºáá¬ážááá·áº TrivialDB DBMS ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááá¯á· ááœáŸá²ááŒá±á¬ááºážáá²á·áááºá Berkeley DB áá¶á·ááá¯ážááŸá¯á¡á¬áž áááºááŸáááœáẠáááºáááºááááºážááááºážáá¬ážáá±á¬áºáááºážá "ext_session_acl" ááŸáá·áº "ext_time_quota_acl" ááá¯ááºááœááºáá°áá»á¬ážááẠááá¯á¡áá« "libdb" á¡á á¬áž "libdb" ááá¯ááŸá±á¬ááºááŸá¯á¡áá»áá¯ážá¡á á¬ážááᯠá¡áá¯á¶ážááŒá¯ááẠá¡ááŒá¶ááŒá¯áá¬ážáááºá
- á¡ááŒá±á¬ááºážá¡áá¬áá±ážááá¯á·ááŒááºážááœááºáááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá·áºá¡áá« ááœááºážáááºáá»á¬ážááᯠááááŸáááá¯ááºá á±ááá·áº RFC 8586 ááœáẠáááºááŸááºáá¬ážáá±á¬ CDN-Loop HTTP áá±á«ááºážá á®ážá¡ááœáẠáá¶á·ááá¯ážááŸá¯ áááºáá±á¬ááºážáá¶á·ááá¯ážáá±ážááẠ(á¡ááŒá±á¬ááºážáá áºáá¯áá¯ááŒá±á¬áá·áº CDN áá»á¬ážááŒá¬ážá០ááŒááºááœáŸááºážááŒááºážáá¯ááºáááºážá ááºááœáẠáá±á¬ááºážááá¯ááŸá¯áá áºáá¯ááẠá¡ááŒá±á¬ááºážáá áºáá¯áá¯ááŒá±á¬áá·áº ááŒááºááœá¬ážááá·áºá¡áá« áá±á«ááºážá á®ážááẠá¡ááŒá±á¡áá±áá»á¬ážááᯠá¡áá¬á¡ááœááºáá±ážáááºá áá°áááºáž CDNá á¡áá¯á¶ážáá²á· ááœááºážáááºáá áºáá¯)á
- áá¯ááºááŸááºáá¬ážáá±á¬ HTTPS á ááºááŸááºáá»á¬ážá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠááŒá¬ážááŒááºááœáá·áºááŒá¯ááá·áº SSL-Bump ááá¹ááá¬ážááẠHTTP áá»áááºáááºááŸá¯áááºážáááºážááᯠá¡ááŒá±áá¶á áá¯á¶ááŸááºá¥áááºááá¯ááºáá±á«ááºážáá áºáá¯ááᯠá¡áá¯á¶ážááŒá¯á spoofed (ááŒááºáááºáá¯ááºááŸááºáá¬ážáá±á¬) HTTPS áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠááŒááºáááºááœáŸááºážááŒááºážá¡ááœáẠáá¶á·ááá¯ážááŸá¯áááºáá±á¬ááºážáá±ážáá¬ážáááºá Squid ááẠTLS á¡ááœááºáž TLS ááᯠáááá¯á·áá±á¬ááºááá¯ááºáá±ážáá±á¬ááŒá±á¬áá·áº HTTPS ááŸáá áºááá·áº áá¯ááºááœáŸáá·áºááŒááºážááᯠááá¶á·ááá¯ážááá¯ááºáá«á SSL-Bump ááẠááá·áºá¡á¬áž ááááá¯á¶áž ááŒá¬ážááŒááºááá·áºáá¬ážáá¬ážáá±á¬ HTTPS áá±á¬ááºážááá¯ááŸá¯ááᯠáááºáá¶áááŸáááŒá®áž áááºážá á¡ááá¡ááŸááºááŒá¯áááºááŸááºááᯠááá°ááŒá®ážáá±á¬áẠáá áºááŸááºáá¬áá¬ááŸáá·áº TLS áá»áááºáááºááŸá¯ááᯠáááºáá±á¬ááºááœáá·áºááŒá¯áááºá áááºážáá±á¬ááºá Squid ááẠáá¬áá¬ááŸáááŸááá±á¬ á¡ááá¡ááŸááºááŒá¯áááºááŸááºá¡á á áºá¡ááŸááºá០hostname ááá¯á¡áá¯á¶ážááŒá¯ááŒá®áž áá±áá¬áááºáá¶áááŸáááẠáá áºááŸááºáá¬áá¬ááŸáá·áºáááºáá±á¬ááºáá¬ážááá·áº TLS áá»áááºáááºááŸá¯ááᯠáááºáááºá¡áá¯á¶ážááŒá¯áá±áá»áááºááœáẠáááá¯ááºážááá·áºááŸáá·áº á¡ááŒááºá¡ááŸááºáááºááœááºááá·áºá¡áá« áá±á¬ááºážááá¯áá¬ážáá±á¬áá¬áá¬ááᯠá¡áá¯áá°áᬠdummy áááºááŸááºááá¯áááºáá®ážáá±ážáá«áááºá á¡á á¬ážááá¯ážááŸá¯ááẠáá¯á¶ážá áœá²áá°áááºá០ááá±á¬ááºáá¬áá»á¬ážááœáẠá¡ááœááºááááá±ážáá»ááºáá»á¬ážááᯠáááŒá áºáá±á«áºá á±áááºá¡ááœááºá áááºááẠá áááºáá°ážáááºáááºááŸááºáá»á¬ážááᯠroot áááºááŸááºá ááá¯ážááœáẠáá¯ááºáá¯ááºááẠá¡áá¯á¶ážááŒá¯ááá·áº áááºááááºááŸááºááᯠááá·áºááẠááá¯á¡ááºáááº)á
- Netfilter á¡ááŸááºá¡áá¬ážáá»á¬áž (CONNMARK) ááᯠclient TCP áá»áááºáááºááŸá¯áá»á¬áž ááá¯á·ááá¯áẠáááºáááºáá áºáá¯áá»ááºážááá¯á· áá»áááºáááºááẠmark_client_connection ááŸáá·áº mark_client_pack áááºážááœáŸááºáá»ááºáá»á¬ážááᯠáá±á«ááºážááá·áºáá¬ážáááºá
á¡ááŸáááºááŒááºážááŒááºážááŒáá·áº Squid 5.2 ááŸáá·áº Squid 4.17 ááá¯á·ááᯠáá¯ááºáá±áá²á·ááŒá®áž á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠááŒááºáááºáá±ážáá²á·áááºá
- CVE-2021-28116 - á¡áá°ážáááºáá®ážáá¬ážáá±á¬ WCCPv2 áááºáá±á·áá»áºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááá·áºá¡áá« ááááºážáá±á«ááºááŒá¬ážááŒááºážá á¡á¬ážáááºážáá»ááºááẠááá¯ááºááá¯ááºáá°á¡á¬áž ááááŸááá¬ážáá±á¬ WCCP áá±á¬ááºáá¬áá»á¬ážáá á¬áááºážááᯠáá±á¬ááºáá»ááºá á±ááŒá®áž ááá±á¬ááºá á®áá¬áá¬áá±á¬ááºáááºáá»á¬ážá០áááºážááá¯á·áá¡áááºááŸááºáá¶ááá¯á· áááºážááŒá±á¬ááºážááŒá±á¬ááºážá á±ááá¯ááºáááºá ááŒá¿áá¬ááẠWCCPv2 áá¶á·ááá¯ážááŸá¯ááœáá·áºáá¬ážáááŒáá·áº ááœá²á·á ááºážááŸá¯áá¯á¶á á¶áá»á¬ážááœááºáᬠáá±á«áºáá¬ááŒá®áž router á IP ááááºá á¬ááᯠá¡áá¯ááá¯ážááẠááŒá áºááá¯ááºááá·áºá¡áá«ááœááºáᬠáá±á«áºáá¬áá«áááºá
- CVE-2021-41611 - TLS á¡ááá¡ááŸááºááŒá¯áááºááŸááºá á áºáá±ážááŒááºážááœáẠááŒá¿áá¬áá áºáá¯á ááá¯á¶ááŒááºááá±á¬ áááºááŸááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á áááºáá±á¬ááºááœáá·áºááŒá¯áááºá
source: opennet.ru