Po troch rokoch vývoja bola predstavená stabilná verzia proxy servera Squid 5.1, pripravená na použitie v produkčných systémoch (vydania 5.0.x mali status beta verzií). Po tom, čo vetva 5.x získa stabilný status, sa v nej budú odteraz vykonávať iba opravy zraniteľností a problémov so stabilitou a povolené sú aj drobné optimalizácie. Vývoj nových funkcií bude prebiehať v novej experimentálnej vetve 6.0. Používateľom predchádzajúcej stabilnej vetvy 4.x sa odporúča, aby plánovali migráciu do vetvy 5.x.
Kľúčové inovácie v Squid 5:
- Implementácia protokolu ICAP (Internet Content Adaptation Protocol), ktorý sa používa na integráciu s externými systémami na overovanie obsahu, pridala podporu mechanizmu pripájania údajov (upútavky), ktorý umožňuje pripojiť k odpovedi ďalšie hlavičky s metaúdajmi umiestnenými za správou. telo (môžete napríklad poslať kontrolný súčet a podrobnosti o zistených problémoch).
- Pri presmerovaní požiadaviek sa používa algoritmus „Happy Eyeballs“, ktorý okamžite používa prijatú IP adresu, bez čakania na vyriešenie všetkých potenciálne dostupných cieľových adries IPv4 a IPv6. Namiesto zohľadnenia nastavenia „dns_v4_first“ na určenie, či sa používa skupina adries IPv4 alebo IPv6, sa teraz zohľadňuje poradie odpovede DNS: ak odpoveď DNS AAAA príde prvá pri čakaní na vyriešenie adresy IP, potom sa použije výsledná adresa IPv6. Nastavenie preferovanej skupiny adries sa teda teraz vykonáva na úrovni brány firewall, DNS alebo spúšťania pomocou možnosti „--disable-ipv6“. Navrhovaná zmena nám umožňuje zrýchliť čas nastavenia TCP spojení a znížiť vplyv oneskorení pri prekladaní DNS na výkon.
- Pre použitie v direktíve "external_acl" bol pridaný obslužný program "ext_kerberos_sid_group_acl" na autentifikáciu s kontrolou skupín v Active Directory pomocou Kerberos. Ak chcete zistiť názov skupiny, použite pomocný program ldapsearch, ktorý poskytuje balík OpenLDAP.
- Podpora formátu Berkeley DB bola ukončená kvôli problémom s licenciami. Vetva Berkeley DB 5.x sa už niekoľko rokov neudržiava a zostáva s neoplatenými zraniteľnosťami a prechodu na novšie vydania bráni zmena licencie na AGPLv3, ktorej požiadavky sa vzťahujú aj na aplikácie využívajúce BerkeleyDB vo forme tzv. knižnica – Squid sa dodáva pod licenciou GPLv2 a AGPL nie je kompatibilná s GPLv2. Namiesto Berkeley DB bol projekt presunutý do používania TrivialDB DBMS, ktorý je na rozdiel od Berkeley DB optimalizovaný pre simultánny paralelný prístup k databáze. Podpora Berkeley DB je zatiaľ zachovaná, ale obslužné programy "ext_session_acl" a "ext_time_quota_acl" teraz odporúčajú používať typ úložiska "libtdb" namiesto "libdb".
- Pridaná podpora pre hlavičku HTTP CDN-Loop definovanú v RFC 8586, ktorá vám umožňuje zisťovať slučky pri používaní sietí na doručovanie obsahu (hlavička poskytuje ochranu pred situáciami, keď sa požiadavka v procese presmerovania medzi sieťami CDN z nejakého dôvodu vráti späť do pôvodné CDN, tvoriace nekonečnú slučku).
- Mechanizmus SSL-Bump, ktorý vám umožňuje zachytiť obsah šifrovaných relácií HTTPS, pridal podporu pre presmerovanie falošných (opätovne zašifrovaných) požiadaviek HTTPS cez iné proxy servery špecifikované v cache_peer pomocou bežného tunela založeného na metóde HTTP CONNECT ( prenos cez HTTPS nie je podporovaný, pretože Squid zatiaľ nedokáže prenášať TLS v rámci TLS). SSL-Bump vám umožňuje vytvoriť TLS spojenie s cieľovým serverom po prijatí prvej zachytenej HTTPS požiadavky a získať jeho certifikát. Potom Squid použije názov hostiteľa zo skutočného certifikátu prijatého zo servera a vytvorí fiktívny certifikát, pomocou ktorého napodobňuje požadovaný server pri interakcii s klientom, pričom na prijímanie údajov naďalej používa pripojenie TLS vytvorené s cieľovým serverom ( aby nahradenie neviedlo k výstupným varovaniam v prehliadačoch na strane klienta, musíte pridať svoj certifikát používaný na generovanie fiktívnych certifikátov do koreňového skladu certifikátov).
- Pridané direktívy mark_client_connection a mark_client_pack na viazanie značiek Netfilter (CONNMARK) ku klientskym TCP spojeniam alebo jednotlivým paketom.
V pätách boli zverejnené vydania Squid 5.2 a Squid 4.17, v ktorých boli opravené chyby:
- CVE-2021-28116 – Únik informácií pri spracovaní špeciálne vytvorených správ WCCPv2. Zraniteľnosť umožňuje útočníkovi poškodiť zoznam známych smerovačov WCCP a presmerovať prevádzku z klientov proxy servera na ich hostiteľa. Problém sa objavuje iba v konfiguráciách s povolenou podporou WCCPv2 a keď je možné sfalšovať IP adresu smerovača.
- CVE-2021-41611 – Problém s overením certifikátu TLS umožňuje prístup pomocou nedôveryhodných certifikátov.
Zdroj: opennet.ru