Squid 5 ပရောက်စီဆာဗာ၏ တည်ငြိမ်သော ထုတ်ဝေမှု

သုံးနှစ်ကြာ ဖွံ့ဖြိုးတိုးတက်ပြီးနောက်၊ Squid 5.1 ပရောက်စီဆာဗာ၏ တည်ငြိမ်သောထွက်ရှိမှုကို ပြသခဲ့ပြီး ထုတ်လုပ်မှုစနစ်များတွင် အသုံးပြုရန် အသင့်ဖြစ်နေပြီ (ထုတ်ဝေမှု 5.0.x တွင် ဘီတာဗားရှင်းများပါရှိသည်)။ 5.x ဌာနခွဲအား တည်ငြိမ်သော အနေအထားကို ပေးအပ်ပြီးနောက်၊ ယခုမှစပြီး အားနည်းချက်များနှင့် တည်ငြိမ်မှုဆိုင်ရာ ပြဿနာများအတွက် ပြုပြင်မှုများသာ ပြုလုပ်မည်ဖြစ်ပြီး၊ အသေးစား ပိုမိုကောင်းမွန်အောင် လုပ်ဆောင်မှုများကိုလည်း ခွင့်ပြုထားသည်။ အင်္ဂါရပ်အသစ်များ၏ ဖွံ့ဖြိုးတိုးတက်မှုကို စမ်းသပ်မှုဌာနခွဲသစ် 6.0 တွင် လုပ်ဆောင်မည်ဖြစ်သည်။ ယခင်တည်ငြိမ်သော 4.x ဌာနခွဲကို အသုံးပြုသူများသည် 5.x ဌာနခွဲသို့ ပြောင်းရွှေ့ရန် စီစဉ်ရန် အကြံပြုထားသည်။

Squid 5 တွင် အဓိက တီထွင်ဆန်းသစ်မှုများ

• ပြင်ပအကြောင်းအရာစိစစ်ခြင်းစနစ်များနှင့် ပေါင်းစည်းရန်အတွက် အသုံးပြုသည့် ICAP (Internet Content Adaptation Protocol) ကို အကောင်အထည်ဖော်ရာတွင် မက်ဆေ့ချ်ပြီးနောက် တုံ့ပြန်မှုတွင် မက်တာဒေတာဖြင့် ထပ်လောင်းထည့်ထားသည့် ဒေတာပူးတွဲမှုယန္တရား (နောက်တွဲ) အတွက် ပံ့ပိုးမှု ထပ်လောင်းထည့်သွင်းထားသည်။ body (ဥပမာ၊ သင်သည် checksum နှင့် ဖော်ထုတ်ထားသော ပြဿနာများအကြောင်းအသေးစိတ်အချက်အလက်များကို ပေးပို့နိုင်သည်)။
• တောင်းဆိုမှုများကို ပြန်ညွှန်းသည့်အခါ "Happy Eyeballs" အယ်လဂိုရီသမ်ကို အသုံးပြုထားပြီး၊ ရရှိနိုင်သော IPv4 နှင့် IPv6 ပစ်မှတ်လိပ်စာအားလုံး ဖြေရှင်းရန် မစောင့်ဘဲ လက်ခံရရှိသော IP လိပ်စာကို ချက်ချင်းအသုံးပြုသည်။ IPv4 သို့မဟုတ် IPv6 လိပ်စာမိသားစုကို အသုံးပြုရမည့်အစီအစဉ်ကို ဆုံးဖြတ်ရန် "dns_v4_first" ဆက်တင်ကို အသုံးမပြုဘဲ၊ DNS တုံ့ပြန်မှုအစီအစဉ်ကို ယခုအခါ ထည့်သွင်းစဉ်းစားထားသည်- ဖြေရှင်းရန်စောင့်ဆိုင်းနေစဉ်အတွင်း၊ IP လိပ်စာများ ပထမဆုံး DNS AAAA တုံ့ပြန်မှုကို လက်ခံရရှိပါက၊ ရလဒ် IPv6 လိပ်စာကို အသုံးပြုပါမည်။ ထို့ကြောင့်၊ ဦးစားပေးလိပ်စာမိသားစုကို configure လုပ်ခြင်းကို ယခုအခါ firewall၊ DNS သို့မဟုတ် startup level တွင် "--disable-ipv6" option ဖြင့် လုပ်ဆောင်ပါသည်။ ဤအဆိုပြုထားသောပြောင်းလဲမှုသည် TCP ချိတ်ဆက်မှု setup အချိန်များကို တိုးတက်ကောင်းမွန်စေပြီး DNS resolution latency ၏ စွမ်းဆောင်ရည်အပေါ် သက်ရောက်မှုကို လျော့နည်းစေသည်။
• "external_acl" ညွှန်ကြားချက်တွင် အသုံးပြုရန်အတွက်၊ Kerberos ကို အသုံးပြု၍ Active Directory တွင် အဖွဲ့စစ်ဆေးခြင်းဖြင့် စစ်မှန်ကြောင်းအတည်ပြုရန်အတွက် "ext_kerberos_sid_group_acl" ကိုင်တွယ်သူကို ပေါင်းထည့်ထားပါသည်။ အဖွဲ့အမည်ကို မေးမြန်းရန် OpenLDAP ပက်ကေ့ချ်မှ ပံ့ပိုးပေးသည့် ldapsearch utility ကို အသုံးပြုပါ။
• လိုင်စင်ပြဿနာများကြောင့် Berkeley DB ဖော်မတ်အတွက် ပံ့ပိုးမှုကို ရပ်တန့်ထားသည်။ Berkeley DB 5.x ဌာနခွဲကို နှစ်အတော်ကြာ မထိန်းသိမ်းထားရသေးဘဲ ပြုပြင်မွမ်းမံထားသော အားနည်းချက်များဖြင့် ဆက်လက်တည်ရှိနေပြီး အသစ်ထွက်ရှိမှုများသို့ ကူးပြောင်းခြင်းကို AGPLv3 သို့ လိုင်စင်ပြောင်းလဲမှုဖြင့် တားဆီးထားပြီး၊ BerkeleyDB ပုံစံဖြင့် BerkeleyDB ကို အသုံးပြုသည့် အပလီကေးရှင်းများနှင့်လည်း သက်ဆိုင်သည့် လိုအပ်ချက်များ၊ စာကြည့်တိုက်တစ်ခု - Squid ကို GPLv2 လိုင်စင်အောက်တွင် ထောက်ပံ့ပေးထားပြီး AGPL သည် GPLv2 နှင့် ကိုက်ညီမှုမရှိပါ။ Berkeley DB အစား၊ ပရောဂျက်ကို Berkeley DB နှင့်မတူဘဲ ဒေတာဘေ့စ်သို့ တပြိုင်နက်အပြိုင်ဝင်ရောက်ခွင့်အတွက် အကောင်းဆုံးဖြစ်အောင်ပြုလုပ်ထားသည့် TrivialDB DBMS ကိုအသုံးပြုခြင်းသို့ လွှဲပြောင်းခဲ့သည်။ Berkeley DB ပံ့ပိုးမှုအား လက်ရှိတွင် ဆက်လက်ထိန်းသိမ်းထားသော်လည်း၊ "ext_session_acl" နှင့် "ext_time_quota_acl" ကိုင်တွယ်သူများသည် ယခုအခါ "libdb" အစား "libdb" သိုလှောင်မှုအမျိုးအစားကို အသုံးပြုရန် အကြံပြုထားသည်။
• အကြောင်းအရာပေးပို့ခြင်းကွန်ရက်များကို အသုံးပြုသည့်အခါ ကွင်းဆက်များကို သိရှိနိုင်စေမည့် RFC 8586 တွင် သတ်မှတ်ထားသော CDN-Loop HTTP ခေါင်းစီးအတွက် ပံ့ပိုးမှု ထပ်လောင်းပံ့ပိုးပေးသည် (အကြောင်းတစ်ခုခုကြောင့် CDN များကြားမှ ပြန်ညွှန်းခြင်းလုပ်ငန်းစဉ်တွင် တောင်းဆိုမှုတစ်ခုသည် အကြောင်းတစ်ခုခုကြောင့် ပြန်သွားသည့်အခါ ခေါင်းစီးသည် အခြေအနေများကို အကာအကွယ်ပေးသည်။ မူရင်း CDN၊ အဆုံးမဲ့ ကွင်းဆက်တစ်ခု)။
• ကုဒ်ဝှက်ထားသော HTTPS စက်ရှင်များ၏ အကြောင်းအရာများကို ကြားဖြတ်ခွင့်ပြုသည့် SSL-Bump ယန္တရားသည် HTTP ချိတ်ဆက်မှုနည်းလမ်းကို အခြေခံ၍ ပုံမှန်ဥမင်လိုဏ်ခေါင်းတစ်ခုကို အသုံးပြု၍ spoofed (ပြန်လည်ကုဒ်ဝှက်ထားသော) HTTPS တောင်းဆိုချက်များကို ပြန်လည်ညွှန်းခြင်းအတွက် ပံ့ပိုးမှုထပ်လောင်းပေးထားသည်။ Squid သည် TLS အတွင်း TLS ကို မပို့ဆောင်နိုင်သေးသောကြောင့် HTTPS မှတစ်ဆင့် ထုတ်လွှင့်ခြင်းကို မပံ့ပိုးနိုင်ပါ။ SSL-Bump သည် သင့်အား ပထမဆုံး ကြားဖြတ်ဟန့်တားထားသော HTTPS တောင်းဆိုမှုကို လက်ခံရရှိပြီး ၎င်း၏ အသိအမှတ်ပြုလက်မှတ်ကို ရယူပြီးနောက် ပစ်မှတ်ဆာဗာနှင့် TLS ချိတ်ဆက်မှုကို တည်ထောင်ခွင့်ပြုသည်။ ၎င်းနောက်၊ Squid သည် ဆာဗာမှရရှိသော အသိအမှတ်ပြုလက်မှတ်အစစ်အမှန်မှ hostname ကိုအသုံးပြုပြီး ဒေတာလက်ခံရရှိရန် ပစ်မှတ်ဆာဗာနှင့်တည်ဆောက်ထားသည့် TLS ချိတ်ဆက်မှုကို ဆက်လက်အသုံးပြုနေချိန်တွင် ကလိုင်းယင့်နှင့် အပြန်အလှန်ဆက်သွယ်သည့်အခါ တောင်းဆိုထားသောဆာဗာကို အတုယူကာ dummy လက်မှတ်ကိုဖန်တီးပေးပါသည်။ အစားထိုးမှုသည် သုံးစွဲသူဘက်မှ ဘရောက်ဆာများတွင် အထွက်သတိပေးချက်များကို မဖြစ်ပေါ်စေရန်အတွက်၊ သင်သည် စိတ်ကူးယဉ်လက်မှတ်များကို root လက်မှတ်စတိုးတွင် ထုတ်လုပ်ရန် အသုံးပြုသည့် သင်၏လက်မှတ်ကို ထည့်ရန် လိုအပ်သည်)။
• Netfilter အမှတ်အသားများ (CONNMARK) ကို client TCP ချိတ်ဆက်မှုများ သို့မဟုတ် ပက်ကတ်တစ်ခုချင်းသို့ ချိတ်ဆက်ရန် mark_client_connection နှင့် mark_client_pack လမ်းညွှန်ချက်များကို ပေါင်းထည့်ထားသည်။

အရှိန်ပြင်းပြင်းဖြင့် Squid 5.2 နှင့် Squid 4.17 တို့ကို ထုတ်ဝေခဲ့ပြီး အားနည်းချက်များကို ပြင်ဆင်ပေးခဲ့သည်။

• CVE-2021-28116 - အထူးဖန်တီးထားသော WCCPv2 မက်ဆေ့ချ်များကို လုပ်ဆောင်သည့်အခါ သတင်းပေါက်ကြားခြင်း။ အားနည်းချက်သည် တိုက်ခိုက်သူအား သိရှိထားသော WCCP ရောက်တာများ၏စာရင်းကို ဖောက်ဖျက်စေပြီး ပရောက်စီဆာဗာဖောက်သည်များမှ ၎င်းတို့၏အိမ်ရှင်ထံသို့ လမ်းကြောင်းပြောင်းစေနိုင်သည်။ ပြဿနာသည် WCCPv2 ပံ့ပိုးမှုဖွင့်ထားသဖြင့် ဖွဲ့စည်းမှုပုံစံများတွင်သာ ပေါ်လာပြီး router ၏ IP လိပ်စာကို အတုခိုးရန် ဖြစ်နိုင်သည့်အခါတွင်သာ ပေါ်လာပါသည်။
• CVE-2021-41611 - အတည်ပြုချက်အမှား TLS လက်မှတ်များ၊ မယုံကြည်ရသော လက်မှတ်များကို အသုံးပြု၍ ဝင်ရောက်ခွင့်ပြုသည်။

source: opennet.ru