Na drie jaar ontwikkeling is er een stabiele release van de Squid 5.1 proxyserver gepresenteerd, klaar voor gebruik op productiesystemen (releases 5.0.x hadden de status van bètaversies). Nadat de 5.x-branch de stabiele status heeft gekregen, worden er voortaan alleen nog maar fixes voor kwetsbaarheden en stabiliteitsproblemen in aangebracht, en zijn ook kleine optimalisaties toegestaan. De ontwikkeling van nieuwe features zal plaatsvinden in de nieuwe experimentele tak 6.0. Gebruikers van de vorige stabiele 4.x-tak wordt geadviseerd om een migratie naar de 5.x-tak te plannen.
Belangrijkste innovaties in Squid 5:
- De implementatie van het ICAP (Internet Content Adaptation Protocol), gebruikt voor integratie met externe inhoudverificatiesystemen, heeft ondersteuning toegevoegd voor een gegevensbijlagemechanisme (trailer), waarmee u extra headers met metagegevens aan het antwoord kunt toevoegen, geplaatst na het bericht body (u kunt bijvoorbeeld een controlesom en details over de geïdentificeerde problemen sturen).
- Bij het omleiden van verzoeken wordt gebruik gemaakt van het “Happy Eyeballs”-algoritme, dat onmiddellijk het ontvangen IP-adres gebruikt, zonder te wachten tot alle potentieel beschikbare IPv4- en IPv6-doeladressen zijn opgelost. In plaats van de instelling "dns_v4_first" te gebruiken om te bepalen of een IPv4- of IPv6-adresfamilie wordt gebruikt, wordt nu rekening gehouden met de volgorde van het DNS-antwoord: als het DNS AAAA-antwoord als eerste arriveert tijdens het wachten op het oplossen van een IP-adres, dan het resulterende IPv6-adres zal worden gebruikt. Het instellen van de voorkeursadresfamilie gebeurt nu dus op firewall-, DNS- of opstartniveau met de optie “--disable-ipv6”. De voorgestelde wijziging stelt ons in staat de insteltijd van TCP-verbindingen te versnellen en de prestatie-impact van vertragingen tijdens DNS-resolutie te verminderen.
- Voor gebruik in de richtlijn "external_acl" is de handler "ext_kerberos_sid_group_acl" toegevoegd voor authenticatie met groepscontrole in Active Directory met behulp van Kerberos. Om de groepsnaam op te vragen, gebruikt u het hulpprogramma ldapsearch dat bij het OpenLDAP-pakket wordt geleverd.
- Ondersteuning voor het Berkeley DB-formaat is beëindigd vanwege licentieproblemen. De Berkeley DB 5.x-tak wordt al enkele jaren niet meer onderhouden en bevat nog steeds niet-gepatchte kwetsbaarheden, en de overgang naar nieuwere releases wordt verhinderd door een licentiewijziging naar AGPLv3, waarvan de vereisten ook gelden voor applicaties die BerkeleyDB gebruiken in de vorm van een bibliotheek - Squid wordt geleverd onder de GPLv2-licentie en AGPL is niet compatibel met GPLv2. In plaats van Berkeley DB werd het project overgebracht naar het gebruik van het TrivialDB DBMS, dat, in tegenstelling tot Berkeley DB, is geoptimaliseerd voor gelijktijdige parallelle toegang tot de database. Berkeley DB-ondersteuning blijft voorlopig behouden, maar de handlers "ext_session_acl" en "ext_time_quota_acl" raden nu aan om het opslagtype "libtdb" te gebruiken in plaats van "libdb".
- Ondersteuning toegevoegd voor de CDN-Loop HTTP-header, gedefinieerd in RFC 8586, waarmee u lussen kunt detecteren bij het gebruik van netwerken voor inhoudslevering (de header biedt bescherming tegen situaties waarin een verzoek tijdens het omleiden tussen CDN's om een of andere reden terugkeert naar de originele CDN, die een eindeloze lus vormt).
- Het SSL-Bump-mechanisme, waarmee u de inhoud van gecodeerde HTTPS-sessies kunt onderscheppen, heeft ondersteuning toegevoegd voor het omleiden van vervalste (opnieuw gecodeerde) HTTPS-verzoeken via andere proxyservers gespecificeerd in cache_peer, met behulp van een reguliere tunnel gebaseerd op de HTTP CONNECT-methode ( verzending via HTTPS wordt niet ondersteund, aangezien Squid nog geen TLS binnen TLS kan transporteren). Met SSL-Bump kunt u na ontvangst van het eerste onderschepte HTTPS-verzoek een TLS-verbinding met de doelserver tot stand brengen en het bijbehorende certificaat verkrijgen. Hierna gebruikt Squid de hostnaam van het echte certificaat dat is ontvangen van de server en maakt een dummy-certificaat aan, waarmee het de gevraagde server imiteert bij interactie met de client, terwijl het de TLS-verbinding blijft gebruiken die met de doelserver tot stand is gebracht om gegevens te ontvangen ( zodat de vervanging niet leidt tot uitvoerwaarschuwingen in browsers aan de clientzijde, moet u uw certificaat dat wordt gebruikt om fictieve certificaten te genereren toevoegen aan het rootcertificaatarchief).
- Mark_client_connection en mark_client_pack richtlijnen toegevoegd om Netfilter-markeringen (CONNMARK) te binden aan client-TCP-verbindingen of individuele pakketten.
Op hun hielen werden de releases van Squid 5.2 en Squid 4.17 gepubliceerd, waarin de kwetsbaarheden werden verholpen:
- CVE-2021-28116 - Informatielekken bij het verwerken van speciaal vervaardigde WCCPv2-berichten. Door het beveiligingslek kan een aanvaller de lijst met bekende WCCP-routers beschadigen en verkeer van proxyserverclients naar hun host omleiden. Het probleem doet zich alleen voor in configuraties waarin WCCPv2-ondersteuning is ingeschakeld en wanneer het mogelijk is het IP-adres van de router te spoofen.
- CVE-2021-41611 - Een probleem bij de verificatie van TLS-certificaten maakt toegang mogelijk via niet-vertrouwde certificaten.
Bron: opennet.ru