Etter tre års utvikling har en stabil utgivelse av Squid 5.1 proxy-serveren blitt presentert, klar til bruk på produksjonssystemer (utgivelser 5.0.x hadde status som betaversjoner). Etter at 5.x-grenen har fått stabil status, vil det fra nå av kun bli gjort rettelser for sårbarheter og stabilitetsproblemer i den, og mindre optimaliseringer er også tillatt. Utviklingen av nye funksjoner vil bli utført i den nye eksperimentelle grenen 6.0. Brukere av den forrige stabile 4.x-grenen anbefales å planlegge å migrere til 5.x-grenen.
Viktige innovasjoner i Squid 5:
- Implementeringen av ICAP (Internet Content Adaptation Protocol), brukt for integrasjon med eksterne innholdsverifiseringssystemer, har lagt til støtte for en datavedleggsmekanisme (trailer), som lar deg legge ved ytterligere overskrifter med metadata til svaret, plassert etter meldingen body (du kan for eksempel sende en kontrollsum og detaljer om problemene som er identifisert).
- Ved omdirigering av forespørsler brukes "Happy Eyeballs"-algoritmen, som umiddelbart bruker den mottatte IP-adressen, uten å vente på at alle potensielt tilgjengelige IPv4- og IPv6-måladresser skal løses. I stedet for å bruke "dns_v4_first"-innstillingen for å bestemme om en IPv4- eller IPv6-adressefamilie brukes, blir rekkefølgen på DNS-svaret nå tatt i betraktning: hvis DNS AAAA-svaret kommer først når man venter på at en IP-adresse skal løses, vil resulterende IPv6-adresse vil bli brukt. Dermed gjøres innstilling av den foretrukne adressefamilien nå på brannmur-, DNS- eller oppstartsnivå med alternativet "--disable-ipv6". Den foreslåtte endringen lar oss fremskynde oppsetttiden for TCP-tilkoblinger og redusere ytelseseffekten av forsinkelser under DNS-oppløsning.
- For bruk i "external_acl"-direktivet er "ext_kerberos_sid_group_acl"-behandleren lagt til for autentisering med gruppesjekking i Active Directory ved hjelp av Kerberos. For å spørre gruppenavnet, bruk ldapsearch-verktøyet levert av OpenLDAP-pakken.
- Støtte for Berkeley DB-formatet har blitt avviklet på grunn av lisensieringsproblemer. Berkeley DB 5.x-grenen har ikke blitt vedlikeholdt på flere år og forblir med uopprettede sårbarheter, og overgangen til nyere utgivelser forhindres av en lisensendring til AGPLv3, hvis krav også gjelder for applikasjoner som bruker BerkeleyDB i form av et bibliotek - Squid leveres under GPLv2-lisensen, og AGPL er ikke kompatibel med GPLv2. I stedet for Berkeley DB ble prosjektet overført til bruk av TrivialDB DBMS, som i motsetning til Berkeley DB er optimert for samtidig parallell tilgang til databasen. Berkeley DB-støtte er beholdt foreløpig, men "ext_session_acl" og "ext_time_quota_acl"-behandlere anbefaler nå å bruke "libtdb"-lagringstypen i stedet for "libdb".
- Lagt til støtte for CDN-Loop HTTP-headeren, definert i RFC 8586, som lar deg oppdage looper når du bruker innholdsleveringsnettverk (headeren gir beskyttelse mot situasjoner når en forespørsel i ferd med å omdirigere mellom CDN-er av en eller annen grunn går tilbake til original CDN, som danner en endeløs løkke).
- SSL-Bump-mekanismen, som lar deg avskjære innholdet i krypterte HTTPS-økter, har lagt til støtte for å omdirigere falske (omkrypterte) HTTPS-forespørsler gjennom andre proxy-servere spesifisert i cache_peer, ved å bruke en vanlig tunnel basert på HTTP CONNECT-metoden ( overføring via HTTPS støttes ikke, siden Squid ennå ikke kan transportere TLS innenfor TLS). SSL-Bump lar deg etablere en TLS-forbindelse med målserveren ved mottak av den første avlyttede HTTPS-forespørselen og få sertifikatet. Etter dette bruker Squid vertsnavnet fra det virkelige sertifikatet mottatt fra serveren og lager et dummysertifikat, som det imiterer den forespurte serveren med når den samhandler med klienten, mens den fortsetter å bruke TLS-forbindelsen som er opprettet med målserveren for å motta data ( slik at substitusjonen ikke fører til utdataadvarslene i nettlesere på klientsiden, må du legge til sertifikatet ditt som brukes til å generere fiktive sertifikater til rotsertifikatlageret).
- Lagt til mark_client_connection og mark_client_pack-direktiver for å binde Netfilter-merker (CONNMARK) til klient-TCP-tilkoblinger eller individuelle pakker.
I hælene på dem ble utgivelsene av Squid 5.2 og Squid 4.17 publisert, der sårbarhetene ble fikset:
- CVE-2021-28116 – Informasjonslekkasje ved behandling av spesiallagde WCCPv2-meldinger. Sårbarheten lar en angriper ødelegge listen over kjente WCCP-rutere og omdirigere trafikk fra proxy-serverklienter til verten. Problemet vises kun i konfigurasjoner med WCCPv2-støtte aktivert og når det er mulig å forfalske ruterens IP-adresse.
- CVE-2021-41611 - Et problem i TLS-sertifikatverifisering tillater tilgang ved hjelp av ikke-klarerte sertifikater.
Kilde: opennet.ru