ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Squid 5 ප්‍රොක්සි සේවාදායකයේ ස්ථාවර නිකුතුව

Squid 5 ප්‍රොක්සි සේවාදායකයේ ස්ථාවර නිකුතුව

වසර තුනක සංවර්ධනයෙන් පසු, Squid 5.1 ප්‍රොක්සි සේවාදායකයේ ස්ථාවර නිකුතුවක් ඉදිරිපත් කර ඇත, නිෂ්පාදන පද්ධතිවල භාවිතයට සූදානම් (නිකුතු 5.0.x හි බීටා අනුවාද වල තත්ත්වය තිබුණි). 5.x ශාඛාව ස්ථායී තත්ත්වයට පත් වූ පසු, මින් ඉදිරියට එහි දුර්වලතා සහ ස්ථායීතා ගැටළු සඳහා විසඳුම් පමණක් සිදු කරනු ලබන අතර, සුළු ප්‍රශස්තිකරණයන්ට ද ඉඩ දෙනු ලැබේ. නව විශේෂාංග සංවර්ධනය කිරීම නව පර්යේෂණාත්මක ශාඛාව 6.0 හි සිදු කරනු ලැබේ. පෙර ස්ථාවර 4.x ශාඛාවේ පරිශීලකයින්ට 5.x ශාඛාව වෙත සංක්‍රමණය වීමට සැලසුම් කිරීමට උපදෙස් දෙනු ලැබේ.

දැල්ලන් 5 හි ප්‍රධාන නවෝත්පාදන:

  • බාහිර අන්තර්ගත සත්‍යාපන පද්ධති සමඟ ඒකාබද්ධ කිරීම සඳහා භාවිතා කරන ICAP (අන්තර්ජාල අන්තර්ගත අනුවර්තනය කිරීමේ ප්‍රොටෝකෝලය) ක්‍රියාත්මක කිරීම, දත්ත ඇමුණුම් යාන්ත්‍රණයක් (ට්‍රේලරය) සඳහා සහය එක් කර ඇත, එමඟින් පණිවිඩයට පසුව තැබූ ප්‍රතිචාරයට පාර-දත්ත සමඟ අමතර ශීර්ෂයන් ඇමිණීමට ඔබට ඉඩ සලසයි. ශරීරය (උදාහරණයක් ලෙස, ඔබට හඳුනාගත් ගැටළු පිළිබඳ චෙක්සම් සහ විස්තර යැවිය හැක).
  • ඉල්ලීම් යළි හරවා යවන විට, ලබා ගත හැකි IPv4 සහ IPv6 ඉලක්ක ලිපින සියල්ල විසඳන තෙක් බලා නොසිට, ලැබුණු IP ලිපිනය වහාම භාවිත කරන “Happy Eyeballs” ඇල්ගොරිතම භාවිතා වේ. IPv4 හෝ IPv4 ලිපින පවුලක් භාවිතා කරන්නේද යන්න තීරණය කිරීමට "dns_v6_first" සැකසුම භාවිතා කරනවා වෙනුවට, DNS ප්‍රතිචාරයේ අනුපිළිවෙල දැන් සැලකිල්ලට ගනී: IP ලිපිනයක් විසඳීමට බලා සිටින විට DNS AAAA ප්‍රතිචාරය පළමුව පැමිණේ නම්, පසුව ප්රතිඵලයක් ලෙස IPv6 ලිපිනය භාවිතා කරනු ඇත. මේ අනුව, කැමති ලිපින පවුල සැකසීම දැන් ෆයර්වෝල්, DNS හෝ ආරම්භක මට්ටමින් “--disable-ipv6” විකල්පය සමඟ සිදු කෙරේ. යෝජිත වෙනස මඟින් TCP සම්බන්ධතා සැකසීමේ කාලය වේගවත් කිරීමට සහ DNS විභේදනය අතරතුර ප්‍රමාදයේ කාර්ය සාධන බලපෑම අඩු කිරීමට අපට ඉඩ සලසයි.
  • "external_acl" විධානයෙහි භාවිතය සඳහා, "ext_kerberos_sid_group_acl" හසුරුවන්නා Kerberos භාවිතයෙන් සක්‍රීය නාමාවලිය තුළ කණ්ඩායම් පරීක්ෂා කිරීම සමඟින් සත්‍යාපනය සඳහා එක් කර ඇත. කණ්ඩායම් නාමය විමසීමට, OpenLDAP පැකේජය මඟින් සපයන ldapsearch උපයෝගීතාව භාවිතා කරන්න.
  • බලපත්‍ර ගැටලු හේතුවෙන් Berkeley DB ආකෘතිය සඳහා වන සහාය අත්හරින ලදී. Berkeley DB 5.x ශාඛාව වසර කිහිපයක් තිස්සේ නඩත්තු කර නොමැති අතර නොගැලපෙන දුර්වලතා සහිතව පවතින අතර, AGPLv3 වෙත බලපත්‍ර වෙනස් කිරීමකින් නව නිකුතු වෙත මාරුවීම වලක්වනු ලැබේ, එහි අවශ්‍යතා BerkeleyDB භාවිතා කරන යෙදුම් සඳහාද අදාළ වේ. පුස්තකාලයක් - දැල්ලන් GPLv2 බලපත්‍රය යටතේ සපයනු ලබන අතර AGPL GPLv2 සමඟ නොගැලපේ. Berkeley DB වෙනුවට, ව්‍යාපෘතිය TrivialDB DBMS භාවිතයට මාරු කරන ලදී, Berkeley DB මෙන් නොව, දත්ත සමුදායට සමගාමී ප්‍රවේශය සඳහා ප්‍රශස්ත කර ඇත. Berkeley DB සහාය දැනට රඳවා ඇත, නමුත් "ext_session_acl" සහ "ext_time_quota_acl" හසුරුවන්නන් දැන් "libdb" වෙනුවට "libtdb" ගබඩා වර්ගය භාවිතා කිරීම නිර්දේශ කරයි.
  • RFC 8586 හි නිර්වචනය කර ඇති CDN-Loop HTTP ශීර්ෂය සඳහා සහය එක් කරන ලදි, එමඟින් අන්තර්ගත බෙදාහැරීමේ ජාල භාවිතා කරන විට ලූප හඳුනා ගැනීමට ඔබට ඉඩ සලසයි (යම් හේතුවක් නිසා CDNs අතර යළි හරවා යැවීමේ ක්‍රියාවලියේදී ඉල්ලීමක් නැවත පැමිණෙන විට ශීර්ෂය තත්වයන්ගෙන් ආරක්ෂාව සපයයි. මුල් CDN, නිමක් නැති ලූපයක් සාදයි ).
  • සංකේතාත්මක HTTPS සැසිවල අන්තර්ගතයට බාධා කිරීමට ඔබට ඉඩ සලසන SSL-Bump යාන්ත්‍රණය, HTTP CONNECT ක්‍රමය මත පදනම් වූ සාමාන්‍ය උමගක් භාවිතා කරමින්, cache_peer හි සඳහන් අනෙකුත් ප්‍රොක්සි සේවාදායකයන් හරහා වංචා කරන ලද (නැවත-සංකේතනය කරන ලද) HTTPS ඉල්ලීම් යළි හරවා යැවීම සඳහා සහය එක් කර ඇත. HTTPS හරහා සම්ප්‍රේෂණය සඳහා සහය නොදක්වයි, මන්ද දැල්ලන්ට තවමත් TLS තුළ TLS ප්‍රවාහනය කළ නොහැක). SSL-Bump ඔබට පළමු බාධා කරන ලද HTTPS ඉල්ලීම ලැබීමෙන් පසු ඉලක්ක සේවාදායකය සමඟ TLS සම්බන්ධතාවයක් ස්ථාපිත කර එහි සහතිකය ලබා ගැනීමට ඉඩ සලසයි. මෙයින් පසු, දැල්ලන් සේවාදායකයෙන් ලැබුණු සැබෑ සහතිකයෙන් ධාරක නාමය භාවිතා කර ව්‍යාජ සහතිකයක් නිර්මාණය කරයි, එය සේවාදායකයා සමඟ අන්තර් ක්‍රියා කරන විට ඉල්ලන ලද සේවාදායකය අනුකරණය කරයි, දත්ත ලබා ගැනීම සඳහා ඉලක්ක සේවාදායකය සමඟ ඇති TLS සම්බන්ධතාවය දිගටම භාවිතා කරයි ( ආදේශ කිරීම සේවාලාභියාගේ පැත්තේ ඇති බ්‍රව්සර්වල ප්‍රතිදාන අනතුරු ඇඟවීම් වලට තුඩු නොදෙන ලෙස, ඔබ ව්‍යාජ සහතික උත්පාදනය කිරීමට භාවිතා කරන ඔබේ සහතිකය root සහතික ගබඩාවට එක් කළ යුතුය).
  • සේවාලාභී TCP සම්බන්ධතා හෝ තනි පැකට් වෙත Netfilter ලකුණු (CONNMARK) බැඳීමට mark_client_connection සහ mark_client_pack විධාන එක් කරන ලදී.

ඔවුන්ගේ විලුඹ මත උණුසුම්, Squid 5.2 සහ Squid 4.17 නිකුතු ප්‍රකාශයට පත් කරන ලද අතර, ඒවායේ දුර්වලතා සවි කර ඇත:

  • CVE-2021-28116 - විශේෂයෙන් සකස් කරන ලද WCCPv2 පණිවිඩ සැකසීමේදී තොරතුරු කාන්දු වීම. දුර්වලතාවය ප්‍රහාරකයෙකුට දන්නා WCCP රවුටර ලැයිස්තුව දූෂිත කිරීමට සහ ප්‍රොක්සි සේවාදායක සේවාදායකයින්ගෙන් ඔවුන්ගේ සත්කාරක වෙත ගමනාගමනය හරවා යැවීමට ඉඩ සලසයි. ගැටළුව දිස්වන්නේ WCCPv2 සහය සක්‍රීය කර ඇති වින්‍යාසයන්හි සහ රවුටරයේ IP ලිපිනය වංචා කිරීමට හැකි වූ විට පමණි.
  • CVE-2021-41611 - TLS සහතික සත්‍යාපනයේ ගැටලුවක් විශ්වාස නොකළ සහතික භාවිතයෙන් ප්‍රවේශ වීමට ඉඩ සලසයි.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න