Pas tre vitesh zhvillimi, është paraqitur një lëshim i qëndrueshëm i serverit proxy Squid 5.1, i gatshëm për përdorim në sistemet e prodhimit (lëshimet 5.0.x kishin statusin e versioneve beta). Pasi degës 5.x t'i jepet statusi i qëndrueshëm, tani e tutje në të do të bëhen vetëm rregullime për dobësitë dhe problemet e stabilitetit, si dhe lejohen edhe optimizime të vogla. Zhvillimi i veçorive të reja do të kryhet në degën e re eksperimentale 6.0. Përdoruesit e degës së mëparshme të qëndrueshme 4.x këshillohen të planifikojnë të migrojnë në degën 5.x.
Risitë kryesore në Squid 5:
- Implementimi i ICAP (Internet Content Adaptation Protocol), i përdorur për integrimin me sistemet e jashtme të verifikimit të përmbajtjes, ka shtuar mbështetjen për një mekanizëm të bashkëngjitjes së të dhënave (rimorkio), i cili ju lejon të bashkëngjitni tituj shtesë me metadata në përgjigje, të vendosura pas mesazhit. trupi (për shembull, mund të dërgoni një shumë kontrolli dhe detaje rreth problemeve të identifikuara).
- Gjatë ridrejtimit të kërkesave, përdoret algoritmi "Happy Eyeballs", i cili përdor menjëherë adresën IP të marrë, pa pritur që të zgjidhen të gjitha adresat e synuara IPv4 dhe IPv6 potencialisht të disponueshme. Në vend që të merret parasysh cilësimi "dns_v4_first" për të përcaktuar nëse përdoret një familje adresash IPv4 ose IPv6, tani merret parasysh rendi i përgjigjes DNS: nëse përgjigja DNS AAAA arrin e para kur pret që një adresë IP të zgjidhet, atëherë do të përdoret adresa IPv6 që rezulton. Kështu, vendosja e familjes së adresave të preferuar tani bëhet në nivelin e murit të zjarrit, DNS ose fillimit me opsionin "--disable-ipv6". Ndryshimi i propozuar na lejon të përshpejtojmë kohën e konfigurimit të lidhjeve TCP dhe të zvogëlojmë ndikimin e performancës së vonesave gjatë zgjidhjes së DNS.
- Për përdorim në direktivën "external_acl", trajtuesi "ext_kerberos_sid_group_acl" është shtuar për vërtetim me kontrollim grupor në Active Directory duke përdorur Kerberos. Për të kërkuar emrin e grupit, përdorni mjetin ldapsearch të ofruar nga paketa OpenLDAP.
- Mbështetja për formatin Berkeley DB është zhvlerësuar për shkak të çështjeve të licencimit. Dega Berkeley DB 5.x nuk është mirëmbajtur për disa vite dhe mbetet me dobësi të parregulluara, dhe kalimi në lëshimet më të reja parandalohet nga një ndryshim i licencës në AGPLv3, kërkesat e të cilit zbatohen edhe për aplikacionet që përdorin BerkeleyDB në formën e një bibliotekë - Squid ofrohet nën licencën GPLv2 dhe AGPL nuk është në përputhje me GPLv2. Në vend të Berkeley DB, projekti u transferua në përdorimin e TrivialDB DBMS, i cili, ndryshe nga Berkeley DB, është i optimizuar për qasje paralele të njëkohshme në bazën e të dhënave. Mbështetja e Berkeley DB është ruajtur për momentin, por mbajtësit "ext_session_acl" dhe "ext_time_quota_acl" tani rekomandojnë përdorimin e llojit të ruajtjes "libtdb" në vend të "libdb".
- Mbështetje e shtuar për titullin HTTP CDN-Loop, i përcaktuar në RFC 8586, i cili ju lejon të zbuloni sythe kur përdorni rrjetet e shpërndarjes së përmbajtjes (titulli siguron mbrojtje kundër situatave kur një kërkesë në procesin e ridrejtimit midis CDN-ve për ndonjë arsye kthehet përsëri në CDN origjinale, duke formuar një lak të pafund).
- Mekanizmi SSL-Bump, i cili ju lejon të përgjoni përmbajtjen e seancave të koduara HTTPS, ka shtuar mbështetje për ridrejtimin e kërkesave të falsifikuara (të rikriptuara) HTTPS përmes serverëve të tjerë proxy të specifikuar në cache_peer, duke përdorur një tunel të rregullt bazuar në metodën HTTP CONNECT ( transmetimi nëpërmjet HTTPS nuk mbështetet, pasi Squid nuk mund të transportojë ende TLS brenda TLS). SSL-Bump ju lejon të krijoni një lidhje TLS me serverin e synuar pas marrjes së kërkesës së parë të përgjuar HTTPS dhe të merrni certifikatën e saj. Pas kësaj, Squid përdor emrin e hostit nga certifikata reale e marrë nga serveri dhe krijon një certifikatë dummy, me të cilën imiton serverin e kërkuar kur ndërvepron me klientin, ndërsa vazhdon të përdorë lidhjen TLS të krijuar me serverin e synuar për të marrë të dhëna ( në mënyrë që zëvendësimi të mos çojë në paralajmërimet e daljes në shfletues në anën e klientit, duhet të shtoni certifikatën tuaj të përdorur për të gjeneruar certifikata fiktive në dyqanin e certifikatave rrënjësore).
- U shtuan direktivat mark_client_connection dhe mark_client_pack për të lidhur shenjat e Netfilter (CONNMARK) me lidhjet TCP të klientit ose paketat individuale.
Të nxehtë në këmbë, u publikuan publikimet e Squid 5.2 dhe Squid 4.17, në të cilat u rregulluan dobësitë:
- CVE-2021-28116 - Rrjedhje informacioni gjatë përpunimit të mesazheve WCCPv2 të krijuara posaçërisht. Dobësia lejon një sulmues të korruptojë listën e ruterave të njohur WCCP dhe të ridrejtojë trafikun nga klientët e serverit proxy në hostin e tyre. Problemi shfaqet vetëm në konfigurimet me mbështetjen e WCCPv2 të aktivizuar dhe kur është e mundur të mashtrohet adresa IP e ruterit.
- CVE-2021-41611 - Një problem në verifikimin e certifikatës TLS lejon aksesin duke përdorur certifikata të pabesueshme.
Burimi: opennet.ru