ProHoster > بلاګ > انټرنیټ خبرونه > د Squid 5 پراکسي سرور مستحکم خوشې کول

د Squid 5 پراکسي سرور مستحکم خوشې کول

د دریو کلونو پراختیا وروسته، د Squid 5.1 پراکسي سرور یو باثباته خوشې کول وړاندې شوي، د تولید سیسټمونو کې د کارونې لپاره چمتو شوي (د 5.0.x خوشې کول د بیټا نسخو حالت درلود). وروسته له دې چې د 5.x څانګې مستحکم حالت ورکړل شو، له اوس څخه به یوازې د زیانونو او ثبات ستونزې حل شي، او لږې اصلاح هم اجازه لري. د نوو ځانګړتیاوو پراختیا به په نوي تجربوي څانګه 6.0 کې ترسره شي. د پخوانۍ مستحکم 4.x څانګې کاروونکو ته مشوره ورکول کیږي چې د 5.x څانګې ته مهاجرت وکړي.

په Squid 5 کې کلیدي نوښتونه:

  • د ICAP پلي کول (د انټرنیټ مینځپانګې تطابق پروتوکول) چې د بهرني مینځپانګې تصدیق سیسټمونو سره د ادغام لپاره کارول کیږي ، د ډیټا ضمیمه میکانیزم (ټریلر) لپاره ملاتړ اضافه کړی ، کوم چې تاسو ته اجازه درکوي اضافي سرلیکونه د ځواب سره د میټاډاټا سره ضمیمه کړئ ، د پیغام وروسته ځای په ځای شوي. بدن (د بیلګې په توګه، تاسو کولی شئ چکسم او د پیژندل شویو ستونزو په اړه توضیحات واستوئ).
  • کله چې غوښتنې ریډائریکټ کړئ، د "Happy Eyeballs" الګوریتم کارول کیږي، کوم چې سمدلاسه ترلاسه شوي IP پته کاروي، پرته له دې چې د ټولو احتمالي موجود IPv4 او IPv6 هدف پتې حل شي. د دې پرځای چې د "dns_v4_first" ترتیب وکاروئ ترڅو معلومه کړي چې آیا د IPv4 یا IPv6 پته کورنۍ کارول کیږي، د DNS ځواب ترتیب اوس په پام کې نیول شوی: که د DNS AAAA ځواب لومړی راشي کله چې د IP پتې حل کولو ته انتظار باسي، نو بیا د پایلې IPv6 پته به وکارول شي. په دې توګه، د غوره شوي پته کورنۍ تنظیم کول اوس د فایروال، DNS یا د پیل په کچه د "--disable-ipv6" اختیار سره ترسره کیږي. وړاندیز شوی بدلون موږ ته اجازه راکوي چې د TCP اتصالونو تنظیم کولو وخت ګړندی کړو او د DNS ریزولوشن په جریان کې د ځنډ فعالیت اغیزه کمه کړو.
  • د "external_acl" لارښود کې د کارولو لپاره، "ext_kerberos_sid_group_acl" هینډلر د کربروس په کارولو سره په فعال لارښود کې د ګروپ چیک کولو سره د تصدیق کولو لپاره اضافه شوی. د ګروپ نوم د پوښتنې لپاره، د OpenLDAP کڅوړې لخوا چمتو شوي ldapsearch استعمال وکاروئ.
  • د برکلي DB فارمیټ لپاره ملاتړ د جواز ورکولو مسلو له امله له مینځه وړل شوی. د برکلي DB 5.x څانګه د څو کلونو لپاره نه ده ساتل شوې او د ناپیل شوي زیانونو سره پاتې ده، او نوي ریلیزونو ته لیږد د AGPLv3 لپاره د جواز بدلون لخوا مخنیوی کیږي، چې اړتیاوې یې په غوښتنلیکونو کې هم پلي کیږي چې د برکلي ډی بی په بڼه کاروي. یو کتابتون - سکویډ د GPLv2 جواز لاندې چمتو کیږي، او AGPL د GPLv2 سره مطابقت نلري. د برکلي DB پرځای، پروژه د TrivialDB DBMS کارولو ته لیږدول شوې، کوم چې د برکلي DB برعکس، ډیټابیس ته د یوځل موازي لاسرسي لپاره مطلوب دی. د برکلي DB ملاتړ د اوس لپاره ساتل شوی ، مګر "ext_session_acl" او "ext_time_quota_acl" سمبالونکي اوس د "libdb" پرځای د "libtdb" ذخیره کولو ډول کارولو وړاندیز کوي.
  • د CDN-Loop HTTP سرلیک لپاره ملاتړ اضافه شوی، چې په RFC 8586 کې تعریف شوی، کوم چې تاسو ته اجازه درکوي چې د مینځپانګې رسولو شبکې کارولو په وخت کې لوپونه کشف کړئ (سرلیک د داسې شرایطو په وړاندې محافظت چمتو کوي کله چې د ځینو دلیلونو لپاره د CDNs ترمنځ د ریډیریټ کولو په پروسه کې غوښتنه بیرته راستنیږي. اصلي CDN، یو نه ختمیدونکی لوپ جوړوي).
  • د SSL-Bump میکانیزم، کوم چې تاسو ته اجازه درکوي د کوډ شوي HTTPS غونډو مینځپانګې مداخله وکړي، د HTTP CONNECT میتود پراساس د منظم تونل په کارولو سره چې په cache_peer کې مشخص شوي د نورو پراکسي سرورونو له لارې د سپوف شوي (بیا کوډ شوي) HTTPS غوښتنو ته د راستنولو لپاره ملاتړ اضافه کړی دی ( د HTTPS له لارې لیږد نه ملاتړ کیږي، ځکه چې Squid نشي کولی د TLS دننه TLS لیږد کړي). SSL-Bump تاسو ته اجازه درکوي د هدف سرور سره د TLS اړیکه رامینځته کړئ کله چې د لومړي مداخلې HTTPS غوښتنې ترلاسه کړئ او د دې سند ترلاسه کړئ. له دې وروسته ، سکویډ د سرور څخه ترلاسه شوي اصلي سند څخه کوربه نوم کاروي او یو ډمي سند رامینځته کوي ، پدې سره دا د پیرودونکي سره متقابل عمل کولو پرمهال د غوښتل شوي سرور تقلید کوي ، پداسې حال کې چې د معلوماتو ترلاسه کولو لپاره د هدف سرور سره رامینځته شوي TLS اتصال کارولو ته دوام ورکوي ( د دې لپاره چې بدیل د پیرودونکي اړخ ته په براوزرونو کې د محصول اخطارونو لامل نشي ، تاسو اړتیا لرئ خپل سند اضافه کړئ چې د جعلي سندونو رامینځته کولو لپاره کارول کیږي د روټ سند پلورنځي ته).
  • د mark_client_connection او mark_client_pack لارښوونې اضافه شوي ترڅو د Netfilter نښه (CONNMARK) د مراجعینو TCP ارتباطاتو یا انفرادي کڅوړو سره وصل کړي.

د دوی په هیلو کې ګرم، د Squid 5.2 او Squid 4.17 خوشې کول خپاره شوي، په کوم کې چې زیانمنتیاوې ټاکل شوي:

  • CVE-2021-28116 - د معلوماتو لیک کله چې په ځانګړي ډول جوړ شوي WCCPv2 پیغامونه پروسس کوي. زیانمنونکي برید کونکي ته اجازه ورکوي چې د پیژندل شوي WCCP راؤټرونو لیست فاسد کړي او د پراکسي سرور پیرودونکو څخه د دوی کوربه ته ټرافيک وګرځوي. ستونزه یوازې په تشکیلاتو کې د WCCPv2 ملاتړ فعال شوي سره څرګندیږي او کله چې د روټر IP پته سپکول ممکن وي.
  • CVE-2021-41611 - د TLS سند تصدیق کې یوه مسله د غیر باوري سندونو په کارولو سره لاسرسي ته اجازه ورکوي.

سرچینه: opennet.ru

Add a comment