ProHoster > Blog > litaba tsa inthanete > Ho lokolloa ho tsitsitseng ha seva sa moemeli oa Squid 5

Ho lokolloa ho tsitsitseng ha seva sa moemeli oa Squid 5

Kamora lilemo tse tharo tsa nts'etsopele, tokollo e tsitsitseng ea seva ea proxy ea Squid 5.1 e hlahisitsoe, e loketse ho sebelisoa lits'ebetsong tsa tlhahiso (ho lokolloa ha 5.0.x ho ne ho e-na le boemo ba liphetolelo tsa beta). Ka mor'a hore lekala la 5.x le fuoe boemo bo tsitsitseng, ho tloha joale ho ea pele feela ho lokisa bofokoli le mathata a botsitso ho tla etsoa ho eona, 'me lintlafatso tse nyenyane li boetse li lumelloa. Ntlafatso ea likarolo tse ncha e tla etsoa lekaleng le lecha la liteko 6.0. Basebelisi ba lekala la pele le tsitsitseng la 4.x ba eletsoa ho rera ho fallela lekaleng la 5.x.

Litlhahiso tsa bohlokoa ho Squid 5:

  • Ts'ebetsong ea ICAP (Internet Content Adaptation Protocol), e sebelisetsoang ho kopanngoa le mekhoa ea ho netefatsa litaba tsa ka ntle, e ekelitse ts'ehetso bakeng sa mochine oa ho khomarela data (tereilara), e leng se u lumellang hore u kopanye lihlooho tse eketsehileng ka metadata karabong, e behiloeng ka mor'a molaetsa. 'mele (mohlala, o ka romela cheke le lintlha tse mabapi le mathata a khethiloeng).
  • Ha ho fetisetsoa likopo, ho sebelisoa algorithm ea "Happy Eyeballs", eo hang-hang e sebelisang aterese ea IP e amoheloang, ntle le ho emela hore liaterese tsohle tse ka bang teng tsa IPv4 le IPv6 li rarolloe. Sebakeng sa ho sebelisa "dns_v4_first" ho fumana hore na IPv4 kapa IPv6 liaterese lelapa lia sebelisoa, taelo ea karabo ea DNS e se e nahanoa: haeba karabo ea DNS AAAA e fihla pele ha e emetse aterese ea IP ho rarolla, joale IPv6 aterese ea sephetho e tla sebelisoa. Kahoo, ho beha lelapa la aterese le ratoang hona joale ho etsoa ho firewall, DNS kapa boemo ba ho qala ka khetho ea "-disable-ipv6". Phetoho e reriloeng e re lumella ho potlakisa nako ea ho seta ea likhokahano tsa TCP le ho fokotsa phello ea ts'ebetso ea tieho nakong ea qeto ea DNS.
  • Bakeng sa ts'ebeliso ho taelo ea "external_acl", "ext_kerberos_sid_group_acl" e kenyellelitsoe ho netefatsoa ha sehlopha se hlahloba Active Directory se sebelisa Kerberos. Ho botsa lebitso la sehlopha, sebelisa sesebelisoa sa ldapsearch se fanoeng ke sephutheloana sa OpenLDAP.
  • Tšehetso bakeng sa sebopeho sa Berkeley DB ha e sa sebetsa ka lebaka la litaba tsa tumello ea molao. Lekala la Berkeley DB 5.x ha le so bolokoe ka lilemo tse 'maloa' me le ntse le e-na le mefokolo e sa koaeloang, 'me phetoho ea liphetoho tse ncha e thibeloa ke phetoho ea laesense ho AGPLv3, eo litlhoko tsa eona li sebetsang le lits'ebetsong tse sebelisang BerkeleyDB ka mokhoa oa laeborari - Squid e fanwa tlasa laesense ya GPLv2, mme AGPL ha e tsamaellane le GPLv2. Sebakeng sa Berkeley DB, morero o ile oa fetisetsoa ts'ebelisong ea TrivialDB DBMS, eo, ho fapana le Berkeley DB, e ntlafalitsoeng bakeng sa phihlello e ts'oanang e ts'oanang ho database. Ts'ehetso ea Berkeley DB e ntse e le teng hajoale, empa batsamaisi ba "ext_session_acl" le "ext_time_quota_acl" ba khothaletsa ho sebelisa "libtdb" mofuta oa polokelo sebakeng sa "libdb".
  • Ts'ehetso e ekelitsoeng bakeng sa hlooho ea CDN-Loop HTTP, e hlalositsoeng ho RFC 8586, e u lumellang hore u bone loops ha u sebelisa marang-rang a phano ea litaba (sehlooho se fana ka tšireletso khahlanong le maemo ha kopo e ntse e tsamaisa lipakeng tsa CDN ka lebaka le itseng e khutlela ho CDN ea pele, e etsang loop e sa feleng).
  • Mochini oa SSL-Bump, o o lumellang ho thibela likahare tsa mananeo a HTTPS a patiloeng, o ekelitse ts'ehetso ea ho tsamaisa likopo tsa HTTPS tsa spoofed (tse encrypted hape) ka li-server tse ling tsa proxy tse boletsoeng ho cache_peer, u sebelisa kotopo e tloaelehileng e thehiloeng ho mokhoa oa HTTP CONNECT ( phetiso ka HTTPS ha e tšehetsoe, kaha Squid ha e khone ho tsamaisa TLS ka har'a TLS). SSL-Bump e u lumella ho theha khokahano ea TLS le seva e shebiloeng ha u fumana kopo ea pele e hanotsoeng ea HTTPS le ho fumana setifikeiti sa eona. Ka mor'a sena, Squid e sebelisa lebitso la moeti ho tsoa ho setifikeiti sa 'nete se amohetsoeng ho tsoa ho seva mme e etsa setifikeiti sa dummy, seo ka sona se etsisang seva se kōptjoang ha se sebelisana le mofani, ha se ntse se tsoela pele ho sebelisa khokahanyo ea TLS e thehiloeng le seva se lebisitsoeng ho fumana data ( e le hore ho nkela sebaka ho se lebise tlhokomelong ea litemoso ho li-browser ka lehlakoreng la bareki, o hloka ho eketsa setifikeiti sa hau se sebelisoang ho hlahisa litifikeiti tse iqapetsoeng lebenkeleng la setifikeiti sa motso).
  • E kentse mark_client_connection le mark_client_pack ditaelo ho tlama Netfilter marks (CONNMARK) ho likhokahano tsa bareki TCP kapa lipakete ka bomong.

Ho chesa liretheng tsa bona, ho ile ha hatisoa likhatiso tsa Squid 5.2 le Squid 4.17, moo bofokoli bo ileng ba lokisoa:

  • CVE-2021-28116 - Phatlalatso ea tlhahisoleseling ha o sebetsana le melaetsa e entsoeng ka mokhoa o ikhethileng oa WCCPv2. Kotsi e lumella mohlaseli ho senya lenane la lirotara tse tsebahalang tsa WCCP le ho tsamaisa sephethephethe ho tloha ho bareki ba li-server ho ea ho moamoheli oa bona. Bothata bo hlaha feela litlhophisong tse nang le ts'ehetso ea WCCPv2 e lumelletsoeng le ha ho khoneha ho senya aterese ea IP ea router.
  • CVE-2021-41611 - Taba ho netefatso ea setifikeiti sa TLS e lumella ho fihlella ho sebelisa litifikeiti tse sa tšepahaleng.

Source: opennet.ru

Eketsa ka tlhaloso