Po treh letih razvoja je bila predstavljena stabilna izdaja proxy strežnika Squid 5.1, pripravljena za uporabo v produkcijskih sistemih (izdaje 5.0.x so imele status beta različice). Po tem, ko je veja 5.x dobila stabilen status, se bodo odslej v njej izvajali samo popravki ranljivosti in težav s stabilnostjo, dovoljene pa so tudi manjše optimizacije. Razvoj novih funkcij bo potekal v novi eksperimentalni veji 6.0. Uporabnikom prejšnje stabilne veje 4.x svetujemo, da načrtujejo prehod na vejo 5.x.
Ključne novosti v Squid 5:
- Implementacija protokola ICAP (Internet Content Adaptation Protocol), ki se uporablja za integracijo z zunanjimi sistemi za preverjanje vsebine, ima dodano podporo za mehanizem za pripenjanje podatkov (trailer), ki omogoča, da odgovoru pripnete dodatne glave z metapodatki, ki se nahajajo za sporočilom. telo (na primer, lahko pošljete kontrolno vsoto in podrobnosti o ugotovljenih težavah).
- Pri preusmerjanju zahtev se uporablja algoritem “Happy Eyeballs”, ki takoj uporabi prejeti naslov IP, ne da bi čakal na razrešitev vseh potencialno razpoložljivih ciljnih naslovov IPv4 in IPv6. Namesto uporabe nastavitve "dns_v4_first" za določitev, ali je uporabljena družina naslovov IPv4 ali IPv6, se zdaj upošteva vrstni red odgovora DNS: če odgovor DNS AAAA prispe prvi, ko čaka na razrešitev naslova IP, potem uporabljen bo dobljeni naslov IPv6. Tako se nastavitev želene družine naslovov zdaj izvaja na požarnem zidu, DNS ali na ravni zagona z možnostjo »--disable-ipv6«. Predlagana sprememba nam omogoča, da pospešimo čas namestitve povezav TCP in zmanjšamo vpliv zamud na zmogljivost med razreševanjem DNS.
- Za uporabo v direktivi "external_acl" je bil dodan upravljalnik "ext_kerberos_sid_group_acl" za preverjanje pristnosti s skupinskim preverjanjem v Active Directory z uporabo Kerberos. Za poizvedbo po imenu skupine uporabite pripomoček ldapsearch, ki ga ponuja paket OpenLDAP.
- Podpora za format Berkeley DB je bila opuščena zaradi težav z licenciranjem. Podružnica Berkeley DB 5.x že več let ni vzdrževana in ostaja z nepopravljenimi ranljivostmi, prehod na novejše izdaje pa onemogoča sprememba licence na AGPLv3, katere zahteve veljajo tudi za aplikacije, ki uporabljajo BerkeleyDB v obliki knjižnica - Squid je na voljo pod licenco GPLv2, AGPL pa ni združljiv z GPLv2. Namesto Berkeley DB je projekt prešel na uporabo TrivialDB DBMS, ki je za razliko od Berkeley DB optimiziran za hkratni vzporedni dostop do podatkovne baze. Podpora za Berkeley DB je za zdaj ohranjena, vendar upravljalnika "ext_session_acl" in "ext_time_quota_acl" zdaj priporočata uporabo vrste pomnilnika "libtdb" namesto "libdb".
- Dodana podpora za glavo HTTP CDN-Loop, definirano v RFC 8586, ki vam omogoča zaznavanje zank pri uporabi omrežij za dostavo vsebine (glava zagotavlja zaščito pred situacijami, ko se zahteva v procesu preusmerjanja med CDN-ji iz nekega razloga vrne nazaj na izvirni CDN, ki tvori neskončno zanko).
- Mehanizem SSL-Bump, ki vam omogoča prestrezanje vsebine šifriranih sej HTTPS, ima dodano podporo za preusmerjanje ponarejenih (ponovno šifriranih) zahtev HTTPS prek drugih proxy strežnikov, navedenih v cache_peer, z uporabo običajnega tunela, ki temelji na metodi HTTP CONNECT ( prenos prek HTTPS ni podprt, ker Squid še ne more prenašati TLS znotraj TLS). SSL-Bump omogoča vzpostavitev povezave TLS s ciljnim strežnikom po prejemu prve prestrežene zahteve HTTPS in pridobitev njenega certifikata. Po tem Squid uporabi ime gostitelja iz pravega potrdila, prejetega s strežnika, in ustvari navidezno potrdilo, s katerim posnema zahtevani strežnik pri interakciji z odjemalcem, medtem ko za prejemanje podatkov še naprej uporablja povezavo TLS, vzpostavljeno s ciljnim strežnikom ( tako da zamenjava ne povzroči izhodnih opozoril v brskalnikih na strani odjemalca, morate svoje potrdilo, ki se uporablja za ustvarjanje fiktivnih potrdil, dodati v shrambo korenskih potrdil).
- Dodani direktivi mark_client_connection in mark_client_pack za povezovanje oznak Netfilter (CONNMARK) s povezavami TCP odjemalcev ali posameznimi paketi.
Za petami sta bili objavljeni izdaji Squid 5.2 in Squid 4.17, v katerih so bile odpravljene ranljivosti:
- CVE-2021-28116 – Uhajanje informacij pri obdelavi posebej oblikovanih sporočil WCCPv2. Ranljivost omogoča napadalcu, da pokvari seznam znanih usmerjevalnikov WCCP in preusmeri promet od odjemalcev proxy strežnika do njihovega gostitelja. Težava se pojavi samo v konfiguracijah z omogočeno podporo za WCCPv2 in kadar je mogoče ponarediti naslov IP usmerjevalnika.
- CVE-2021-41611 – Težava pri preverjanju potrdila TLS omogoča dostop z nezaupljivimi potrdili.
Vir: opennet.ru