ٽن سالن جي ترقي کان پوء، اسڪواڊ 5.1 پراکسي سرور جو هڪ مستحڪم رليز پيش ڪيو ويو آهي، پيداوار سسٽم تي استعمال لاء تيار آهي (رليز 5.0.x بيٽا ورزن جي حيثيت رکي ٿو). 5.x برانچ کي مستحڪم حيثيت ڏني وئي آهي، هاڻي کان صرف ان ۾ ڪمزورين ۽ استحڪام جي مسئلن کي حل ڪيو ويندو، ۽ معمولي اصلاح جي اجازت پڻ ڏني وئي آهي. نون خصوصيتن جي ترقي نئين تجرباتي شاخ 6.0 ۾ ڪئي ويندي. اڳوڻي مستحڪم 4.x برانچ جي استعمال ڪندڙن کي صلاح ڏني وئي آهي ته 5.x برانچ ڏانهن لڏپلاڻ ڪرڻ جو منصوبو.
Squid 5 ۾ اهم جدت:
- ICAP (Internet Content Adaptation Protocol) جو نفاذ، خارجي مواد جي تصديق واري نظام سان انضمام لاءِ استعمال ڪيو ويو، ڊيٽا اٽيچمينٽ ميڪانيزم (ٽريلر) لاءِ سپورٽ شامل ڪئي وئي آهي، جيڪا توهان کي ميٽاڊيٽا سان اضافي هيڊر ڳنڍڻ جي اجازت ڏئي ٿي، پيغام کان پوءِ رکيل آهي. جسم (مثال طور، توهان هڪ چيڪسم موڪلي سگهو ٿا ۽ سڃاڻپ جي مسئلن بابت تفصيل).
- جڏهن درخواستن کي ريڊائريڪٽ ڪندي، ”Happy Eyeballs“ الورورٿم استعمال ڪيو ويندو آهي، جيڪو فوري طور تي مليل IP پتي کي استعمال ڪندو آهي، سڀني ممڪن طور تي موجود IPv4 ۽ IPv6 ٽارگيٽ ايڊريس جي حل ٿيڻ جو انتظار ڪرڻ کان سواءِ. "dns_v4_first" سيٽنگ استعمال ڪرڻ جي بدران اهو طئي ڪرڻ لاءِ ته ڇا IPv4 يا IPv6 ايڊريس فيملي استعمال ڪئي وئي آهي، DNS جواب جي ترتيب کي هاڻي حساب ۾ رکيو وڃي ٿو: جيڪڏهن DNS AAAA جواب پهرين اچي ٿو جڏهن IP پتي جي حل ٿيڻ جي انتظار ۾، پوءِ نتيجو IPv6 پتو استعمال ڪيو ويندو. اهڙيء طرح، ترجيح پتي جي خاندان کي ترتيب ڏيڻ هاڻي فائر وال، DNS يا شروعاتي سطح تي "--disable-ipv6" اختيار سان ڪيو ويو آهي. تجويز ڪيل تبديلي اسان کي TCP ڪنيڪشن جي سيٽ اپ وقت کي تيز ڪرڻ جي اجازت ڏئي ٿي ۽ ڊي اين ايس ريزوليوشن دوران دير جي ڪارڪردگي اثر کي گھٽائي ٿي.
- "external_acl" هدايت ۾ استعمال ڪرڻ لاءِ، "ext_kerberos_sid_group_acl" ھينڊلر شامل ڪيو ويو آھي تصديق ڪرڻ لاءِ گروپ چيڪنگ سان ايڪٽو ڊاريڪٽري ۾ Kerberos استعمال ڪندي. گروپ جو نالو پڇڻ لاءِ، OpenLDAP پيڪيج پاران مهيا ڪيل ldapsearch utility استعمال ڪريو.
- Berkeley DB فارميٽ لاءِ سپورٽ لائسنس جي مسئلن جي ڪري ختم ڪئي وئي آهي. Berkeley DB 5.x برانچ ڪيترن سالن تائين برقرار نه رکي وئي آهي ۽ اڻڄاتل خطرن سان گڏ رهي ٿي، ۽ نئين رليز ڏانهن منتقلي کي روڪيو ويو آهي لائسنس جي تبديلي سان AGPLv3، جنهن جون گهرجون انهن ايپليڪيشنن تي پڻ لاڳو ٿين ٿيون جيڪي BerkeleyDB جي صورت ۾ استعمال ڪن ٿيون. هڪ لائبريري - اسڪواڊ GPLv2 لائسنس جي تحت فراهم ڪئي وئي آهي، ۽ AGPL GPLv2 سان مطابقت ناهي. برڪلي ڊي بي جي بدران، منصوبي کي TrivialDB DBMS جي استعمال ڏانهن منتقل ڪيو ويو، جيڪو، Berkeley DB جي برعڪس، ڊيٽابيس تائين هڪ ئي وقت ۾ متوازي رسائي لاءِ بهتر ڪيو ويو آهي. Berkeley DB سپورٽ ھاڻي لاءِ برقرار آھي، پر "ext_session_acl" ۽ "ext_time_quota_acl" ھينڊلر ھاڻي "libdb" جي بدران "libtdb" اسٽوريج قسم استعمال ڪرڻ جي صلاح ڏين ٿا.
- CDN-Loop HTTP هيڊر لاءِ شامل ڪيل سپورٽ، RFC 8586 ۾ بيان ڪيل آهي، جيڪا توهان کي لوپ ڳولڻ جي اجازت ڏئي ٿي جڏهن مواد پهچائڻ واري نيٽ ورڪ استعمال ڪندي (هيڊر انهن حالتن جي خلاف تحفظ فراهم ڪري ٿو جڏهن CDNs جي وچ ۾ ريڊائريڪٽنگ جي عمل ۾ درخواست ڪنهن سبب لاءِ واپس اچي ٿي. اصل CDN، هڪ لامحدود لوپ ٺاهيندي).
- SSL-Bump ميڪانيزم، جيڪو توهان کي انڪرپٽ ٿيل HTTPS سيشن جي مواد کي روڪڻ جي اجازت ڏئي ٿو، HTTP CONNECT طريقي جي بنياد تي هڪ باقاعده سرنگ استعمال ڪندي cache_peer ۾ بيان ڪيل ٻين پراکسي سرورز ذريعي اسپوف ٿيل (ٻيهر انڪرپٽ ٿيل) HTTPS درخواستن کي ريڊريٽ ڪرڻ لاءِ سپورٽ شامل ڪئي آهي ( HTTPS ذريعي ٽرانسميشن سپورٽ نه آهي، ڇاڪاڻ ته اسڪواڊ اڃا تائين TLS اندر TLS ٽرانسپورٽ نه ٿو ڪري سگهي). SSL-Bump توهان کي اجازت ڏئي ٿو هڪ TLS ڪنيڪشن قائم ڪرڻ لاءِ ٽارگيٽ سرور سان پهرين مداخلت واري HTTPS درخواست جي وصولي ۽ ان جو سرٽيفڪيٽ حاصل ڪرڻ. ان کان پوء، اسڪواڊ سرور مان حاصل ڪيل حقيقي سرٽيفڪيٽ مان هوسٽ جو نالو استعمال ڪري ٿو ۽ هڪ ڊمي سرٽيفڪيٽ ٺاهي ٿو، جنهن سان اهو درخواست ڪيل سرور جي نقل ڪري ٿو جڏهن ڪلائنٽ سان لهه وچڙ ۾، جڏهن ته ڊيٽا حاصل ڪرڻ لاء ٽارگيٽ سرور سان قائم ڪيل TLS ڪنيڪشن کي استعمال ڪرڻ جاري رکندي ( انهي ڪري ته متبادل براؤزرز ۾ ڪلائنٽ سائڊ تي آئوٽ پُٽ وارننگن جي اڳواڻي نه ڪري، توهان کي روٽ سرٽيفڪيٽ اسٽور ۾ جعلي سرٽيفڪيٽ ٺاهڻ لاءِ استعمال ٿيل سرٽيفڪيٽ شامل ڪرڻ جي ضرورت آهي).
- شامل ڪيو ويو mark_client_connection ۽ mark_client_pack هدايتون نيٽ فلٽر نشانن کي پابند ڪرڻ لاءِ (CONNMARK) ڪلائنٽ TCP ڪنيڪشن يا انفرادي پيڪٽس سان.
انهن جي هيل تي گرم، اسڪواڊ 5.2 ۽ اسڪواڊ 4.17 جا رليز شايع ڪيا ويا، جن ۾ ڪمزوريون مقرر ڪيون ويون آهن:
- CVE-2021-28116 - خاص طور تي تيار ڪيل WCCPv2 پيغامن جي پروسيسنگ دوران معلومات جي رسي. ڪمزوري هڪ حملي آور کي اجازت ڏئي ٿي ته ڄاڻايل WCCP راؤٽرز جي لسٽ کي خراب ڪري ۽ پراڪسي سرور ڪلائنٽ کان ٽريفڪ انهن جي ميزبان ڏانهن منتقل ڪري. مسئلو صرف WCCPv2 سپورٽ فعال ٿيل ترتيبن ۾ ظاهر ٿئي ٿو ۽ جڏهن اهو ممڪن آهي ته روٽر جي IP پتي کي چوري ڪرڻ.
- CVE-2021-41611 - TLS سرٽيفڪيٽ جي تصديق ۾ هڪ مسئلو ناقابل اعتبار سرٽيفڪيٽ استعمال ڪندي رسائي جي اجازت ڏئي ٿو.
جو ذريعو: opennet.ru