ProHoster > Π‘Π»ΠΎΠ³ > wararka internetka > Siideynta deggan ee Squid 5 server proxy

Siideynta deggan ee Squid 5 server proxy

Saddex sano oo horumar ah ka dib, siidaynta deggan ee Squid 5.1 server proxy ayaa la soo bandhigay, diyaar u ah in loo isticmaalo nidaamyada wax soo saarka (sii daynta 5.0.x waxay lahayd heerka noocyada beta). Ka dib markii laanta 5.x la siiyo xaalad xasilloon, hadda laga bilaabo kaliya hagaajinta jilicsanaanta iyo dhibaatooyinka xasiloonida ayaa lagu sameyn doonaa dhexdeeda, hagaajin yar ayaa sidoo kale la oggol yahay. Horumarinta sifooyinka cusub waxaa lagu fulin doonaa laanta cusub ee tijaabada 6.0. Isticmaalayaasha laanta 4.x ee xasiloon ayaa lagula talinayaa inay qorsheeyaan inay u haajiraan laanta 5.x.

Hal-abuurka muhiimka ah ee Squid 5:

  • Hirgelinta ICAP (Internet Content Adaptation Protocol), oo loo isticmaalo is-dhexgalka hababka xaqiijinta nuxurka dibadda, ayaa ku daray taageerada habka ku-xidhka xogta (trailer), kaas oo kuu ogolaanaya inaad ku dhejiso madax-dheeraad dheeraad ah oo leh xog-ururinta jawaabta, oo la dhigo fariinta ka dib. jirka (tusaale ahaan, waxaad soo diri kartaa xisaab hubin iyo faahfaahin ku saabsan dhibaatooyinka la aqoonsaday).
  • Marka dib loo hagayo codsiyada, "Happy Eyeballs" algorithm ayaa la isticmaalaa, kaas oo isla markiiba adeegsada cinwaanka IP-ga ee la helay, iyada oo aan la sugin dhammaan ciwaannada bartilmaameedka ah ee IPV4 iyo IPV6 ee suurtagalka ah in la xalliyo. Halkii laga isticmaali lahaa goobta "dns_v4_first" si loo go'aamiyo in IPv4 ama IPv6 ciwaanka qoyska la isticmaalo, nidaamka jawaabta DNS hadda waa la tixgeliyaa: haddii jawaabta DNS AAAA ay timaado marka hore marka la sugayo ciwaanka IP si loo xalliyo, ka dibna cinwaanka IPv6 ee ka soo baxa ayaa la isticmaali doonaa. Markaa, dejinta qoyska ciwaanka la door biday hadda waxaa lagu sameeyaa dab-damiska, DNS ama heerka bilowga oo leh ikhtiyaarka "--disable-ipv6". Isbedelka la soo jeediyay wuxuu noo ogolaanayaa inaan dedejinno waqtiga dejinta ee isku xirka TCP oo aan hoos u dhigno saameynta waxqabadka dib u dhaca inta lagu jiro xallinta DNS.
  • Si loogu isticmaalo dardaaranka "external_acl", maamulaha "ext_kerberos_sid_group_acl" ayaa lagu daray hubinta kooxda ee Hagaha Active iyadoo la isticmaalayo Kerberos. Si aad u waydiiso magaca kooxda, isticmaal utility ldapsearch ay bixiso xidhmada OpenLDAP.
  • Taageerada qaabka Berkeley DB waa la joojiyay sababo la xiriira shatiga. Laanta Berkeley DB 5.x lama dayactirin dhowr sano waxayna ku sii jirtaa dayacanka aan la daboolin, iyo u gudubka sii deynta cusub waxaa ka hortagaya beddelka shatiga AGPLv3, shuruudaha kuwaas oo sidoo kale khuseeya codsiyada isticmaala BerkeleyDB qaabka maktabad - Squid waxaa lagu bixiyaa shatiga GPLv2, AGPLna kuma habboona GPLv2. Halkii laga isticmaali lahaa Berkeley DB, mashruuca waxaa loo wareejiyay adeegsiga TrivialDB DBMS, kaas oo ka duwan Berkeley DB, looguna wanagsan yahay isla mar ahaantaana isbarbar socda ee xogta. Taageerada Berkeley DB waa la sii hayaa hadda, laakiin "ext_session_acl" iyo "ext_time_quota_acl" maamulayaasha hadda waxay ku talinayaan isticmaalka "libtdb" nooca kaydinta halkii "libdb".
  • Taageerada lagu daray CDN-Loop HTTP header, oo lagu qeexay RFC 8586, taas oo kuu ogolaanaysa inaad ogaato wareegyada markaad isticmaalayso shabakadaha gudbinta nuxurka (madaxa ayaa bixiya ilaalinta xaaladaha marka codsiga habka wareejinta CDN-yada sababa qaar ay dib ugu noqdaan CDN asalka ah, samaynta loop aan dhammaad lahayn).
  • Habka SSL-Bump, kaas oo kuu ogolaanaya inaad dhexda ka gasho waxa ku jira fadhiyada HTTPS sir ah, ayaa ku dartay taageerada dib u habeynta codsiyada HTTPS ee spoofed (dib loo soo celiyay) iyada oo loo marayo server-yada kale ee lagu qeexay cache_peer, iyadoo la adeegsanayo tunnel caadi ah oo ku salaysan habka HTTP CONNECT ( gudbinta HTTPS lama taageero, maadaama Squid aanu wali ku qaadi karin TLS gudaha TLS). SSL-Bump waxa ay kuu ogolaataa in aad xidhiidh TLS la samaysato server-ka bartilmaameedka ah marka aad hesho codsigii ugu horeeyay ee HTTPS ee la xidho oo aad hesho shahaadadeeda. Taas ka dib, Squid waxay isticmaashaa magaca martida ee shahaadada dhabta ah ee laga helay server-ka waxayna abuurtaa shahaado dimuqraadi ah, taas oo ay ku dayanayso server-ka la codsaday marka lala macaamilayo macmiilka, iyada oo la sii wado isticmaalka xidhiidhka TLS ee lagu aasaasay server-ka bartilmaameedka si loo helo xogta ( si beddelku aanu u horseedin digniinta wax soo saarka ee daalacashada dhinaca macmiilka, waxaad u baahan tahay inaad ku darto shahaadadaada loo isticmaalo in lagu abuuro shahaadooyin khayaali ah dukaanka shahaadada xididka).
  • Waxaa lagu daray mark_client_connection iyo mark_client_pack dardaaranno si loogu xidho calaamadaha Netfilter (CONNMARK) xidhiidhada TCP macmiilka ama xidhmooyinka gaarka ah.

Kulushahay ciribtooda, sii deynta Squid 5.2 iyo Squid 4.17 ayaa la daabacay, kuwaas oo dayacanka lagu hagaajiyay:

  • CVE-2021-28116 - Diidashada macluumaadka marka la farsameynayo farriimaha WCCPv2 ee sida gaarka ah loo farsameeyay. Nuglaanta waxay u ogolaataa weeraryahanku inuu kharribo liiska loo yaqaan router WCCP oo uu taraafikada macaamiisha server-ka u jiheeyo martigeliyaha. Dhibaatadu waxay ka muuqataa kaliya isku xidhka iyada oo la shaqaynayo taageerada WCCPv2 iyo marka ay suurtogal tahay in la jebiyo ciwaanka IP-ga ee router-ka.
  • CVE-2021-41611 - Arrin ku jirta xaqiijinta shahaadada TLS waxay ogolaataa gelitaanka isticmaalka shahaadooyinka aan la aaminin.

Source: opennet.ru

Add a comment