ProHoster > Blog > talafou initaneti > Fa'amautu fa'amalolo o le Squid 5 sui 'au'aunaga

Fa'amautu fa'amalolo o le Squid 5 sui 'au'aunaga

I le maeʻa ai o le tolu tausaga o le atinaʻe, ua tuʻuina atu se faʻasalalauga faʻamautu o le Squid 5.1 proxy server, ua sauni mo le faʻaogaina i luga o faiga gaosiga (faʻasalalau 5.0.x na i ai le tulaga o lomiga beta). A maeʻa ona tuʻuina atu i le lala 5.x le tulaga faʻamautu, mai le taimi nei naʻo le faʻaleleia o faʻafitauli ma faʻafitauli faʻamautu o le a faia i totonu, ma faʻatagaina foʻi ni faʻataʻitaʻiga laiti. O le atinaʻeina o foliga fou o le a faʻatinoina i le lala faʻataʻitaʻi fou 6.0. O tagata faʻaoga o le lala 4.x fale mautu muamua ua fautuaina e fuafua e malaga i le lala 5.x.

Fa'afouga autu ile Squid 5:

  • O le faʻatinoga o le ICAP (Internet Content Adaptation Protocol), faʻaaogaina mo le tuʻufaʻatasia ma faiga faʻamaonia mea i fafo, ua faʻaopoopoina le lagolago mo se masini faʻapipiʻi faʻamaumauga (trailer), lea e mafai ai ona e faʻapipiʻi ulutala faʻatasi ma metadata i le tali, tuʻu pe a uma le feʻau. tino (mo se faʻataʻitaʻiga, e mafai ona e lafoina se siaki tupe ma faʻamatalaga e uiga i faʻafitauli ua iloa).
  • Pe a toe faʻafeiloaʻi talosaga, e faʻaaogaina le "Happy Eyeballs" algorithm, lea e faʻaaoga vave ai le tuatusi IP na maua, e aunoa ma le faʻatali mo tuatusi uma IPv4 ma IPv6 e mafai ona maua e foia. Nai lo le amanaia o le "dns_v4_first" seti e iloa ai pe o se IPv4 poʻo IPv6 tuatusi aiga o loʻo faʻaaogaina, o le faasologa o le tali DNS ua amanaia nei: pe a oʻo mai le tali DNS AAAA muamua pe a faʻatali mo se tuatusi IP e foia, ona fa'aaogaina lea o le tuatusi IPv6. O le mea lea, o le setiina o le tuatusi e sili ona fiafia i ai le aiga ua faia nei i le firewall, DNS poʻo le amataga faʻatasi ma le "--disable-ipv6" filifiliga. O le suiga ua fuafuaina e mafai ai ona matou faʻavaveina le taimi faʻatulagaina o fesoʻotaʻiga TCP ma faʻaitiitia le aʻafiaga o faʻatinoga o faʻatuai i le taimi o le DNS resolution.
  • Mo le fa'aogaina i le "external_acl" fa'atonuga, o le "ext_kerberos_sid_group_acl" na fa'aopoopoina mo le fa'amaoni ma le siaki vaega i Active Directory fa'aaoga Kerberos. Ina ia fesiligia le igoa o le vaega, fa'aaoga le ldapsearch aoga na saunia e le OpenLDAP package.
  • O le lagolago mo le fa'atulagaina o Berkeley DB ua fa'ate'aina ona o fa'afitauli tau laisene. O le lala Berkeley DB 5.x e leʻi tausia mo le tele o tausaga ma o loʻo tumau pea i faʻafitauli e leʻi faʻapipiʻiina, ma o le suiga i faʻasalalauga fou e taofia e le suiga o le laisene i le AGPLv3, o manaʻoga e faʻaoga foi i talosaga e faʻaaogaina BerkeleyDB i le tulaga o se faletusi - Squid o loʻo tuʻuina atu i lalo ole laisene GPLv2, ma le AGPL e le fetaui ma le GPLv2. Nai lo Berkeley DB, o le poloketi na faʻafeiloaʻi i le faʻaogaina o le TrivialDB DBMS, lea, e le pei o Berkeley DB, ua faʻamalosia mo le avanoa tutusa tutusa i le database. O lo'o taofia pea le lagolago a Berkeley DB mo le taimi nei, ae o lo'o fautuaina nei e le au "ext_session_acl" ma le "ext_time_quota_acl" le fa'aogaina o le ituaiga "libtdb" nai lo le "libdb".
  • Faʻaopoopo le lagolago mo le CDN-Loop HTTP header, faʻamatalaina i le RFC 8586, lea e mafai ai ona e iloa matasele pe a faʻaogaina fesoʻotaʻiga tuʻuina atu (o le ulutala e maua ai le puipuiga mai tulaga pe a toe foʻi mai se talosaga i le faagasologa o le toe faʻafeiloaʻi i le va o CDNs mo nisi mafuaaga i le uluai CDN, e fai ai se matasele e le gata ).
  • O le masini SSL-Bump, lea e mafai ai e oe ona faʻaogaina mea o loʻo i totonu o faʻailoga HTTPS sauniga, ua faʻaopoopoina le lagolago mo le toe faʻafeiloaʻi (re-encrypted) talosaga HTTPS e ala i isi sui sui o loʻo faʻamaonia i le cache_peer, e faʻaaoga ai se ala masani e faʻavae i luga ole auala HTTP CONNECT ( e le lagolagoina le fa'asalalauga e ala i le HTTPS, talu ai e le'i mafai e Squid ona la'u TLS i totonu o le TLS). SSL-Bump fa'atagaina oe e fa'atuina se feso'ota'iga TLS ma le 'au'aunaga fa'amoemoe i luga o le mauaina o le talosaga muamua a le HTTPS ma maua lana tusi fa'amaonia. A maeʻa lenei mea, faʻaaoga e Squid le igoa talimalo mai le tusi faamaonia moni na maua mai le 'auʻaunaga ma fatuina se tusi faʻamaonia, lea e faʻataʻitaʻia ai le server o loʻo talosagaina pe a fegalegaleai ma le tagata o tausia, aʻo faʻaauau pea ona faʻaogaina le TLS fesoʻotaʻiga ua faʻatuina ma le faʻaumau autu e maua ai faʻamatalaga ( ina ia le o'o atu le suitulaga i lapata'iga fa'atino i tagata su'esu'e i le itu o tagata o tausia, e tatau ona e fa'aopoopo lau tusi pasi na fa'aaogaina e fa'atupu ai tusi fa'amaonia i le faleoloa a'a).
  • Fa'aopoopo fa'atonuga fa'ailoga_client_connection ma fa'ailoga_client_pack e fusifusia ai fa'ailoga Netfilter (CONNMARK) i feso'ota'iga TCP tagata fa'atau po'o pepa ta'itasi.

O le vevela i luga o latou mulivae, na faʻasalalauina le Squid 5.2 ma le Squid 4.17, lea na faʻamautu ai faʻafitauli:

  • CVE-2021-28116 - Fa'amatalaga le'o pe a fa'agaioia fe'au WCCPv2 fa'apitoa. O le fa'aletonu e mafai ai e le tagata osofa'i ona fa'aleaga le lisi o ta'avale WCCP ua iloa ma toe fa'asa'o fe'avea'i mai tagata fa'atau sui i lo latou 'au. E na'o le fa'afitauli e aliali mai i fa'atonuga fa'atasi ai ma le lagolago a le WCCPv2 ua mafai ma pe a mafai ona fa'asese le tuatusi IP a le router.
  • CVE-2021-41611 - O se fa'afitauli i le fa'amaoniga o le tusipasi TLS e mafai ai ona fa'aoga le fa'aaogaina o tusi pasi e le talitonuina.

puna: opennet.ru

Faaopoopo i ai se faamatalaga