Saatos tilu taun pangwangunan, sékrési stabil tina server proxy Squid 5.1 parantos disayogikeun, siap dianggo dina sistem produksi (kaluaran 5.0.x ngagaduhan status versi béta). Saatos cabang 5.x geus dibikeun status stabil, ti ayeuna ngan perbaikan pikeun vulnerabilities jeung masalah stabilitas bakal dilakukeun dina eta, sarta optimizations minor ogé diwenangkeun. Ngembangkeun fitur anyar bakal dilaksanakeun dina cabang ékspérimén anyar 6.0. Pamaké cabang 4.x stabil saméméhna disarankan rencana pikeun migrasi ka cabang 5.x.
Inovasi konci dina Squid 5:
- Palaksanaan ICAP (Internet Content Adaptation Protocol), dipaké pikeun integrasi jeung sistem verifikasi eusi éksternal, geus ditambahkeun rojongan pikeun mékanisme kantétan data (trailer), nu ngidinan Anjeun pikeun ngagantelkeun header tambahan kalawan metadata kana respon, disimpen sanggeus pesen. awak (contona, Anjeun bisa ngirim checksum sarta detil ngeunaan masalah dicirikeun).
- Nalika alihan pamundut, algoritma "Bingah Eyeballs" dianggo, anu langsung nganggo alamat IP anu ditampi, tanpa ngantosan sadaya alamat target IPv4 sareng IPv6 anu berpotensi tiasa direngsekeun. Tinimbang tumut kana akun setelan "dns_v4_first" pikeun nangtukeun naha kulawarga alamat IPv4 atanapi IPv6 dianggo, urutan réspon DNS ayeuna dipertimbangkeun: upami réspon DNS AAAA sumping heula nalika ngantosan alamat IP pikeun ngabéréskeun, lajeng alamat IPv6 hasilna bakal dipaké. Ku kituna, netepkeun kulawarga alamat pikaresep ayeuna dipigawé dina firewall, DNS atawa tingkat ngamimitian kalawan pilihan "--disable-ipv6". Parobahan anu diusulkeun ngamungkinkeun urang nyepetkeun waktos setelan sambungan TCP sareng ngirangan dampak kinerja telat salami résolusi DNS.
- Pikeun pamakéan dina "external_acl" diréktif, "ext_kerberos_sid_group_acl" Handler geus ditambahkeun pikeun auténtikasi jeung grup dipariksa di Active Directory maké Kerberos. Pikeun naroskeun nami grup, paké utilitas ldapsearch anu disayogikeun ku pakét OpenLDAP.
- Rojongan pikeun format Berkeley DB parantos dicabut kusabab masalah lisénsi. Cabang Berkeley DB 5.x teu acan dirobih salami sababaraha taun sareng tetep gaduh kerentanan anu teu ditambal, sareng transisi ka rilis anu langkung énggal dicegah ku parobihan lisénsi ka AGPLv3, sarat anu ogé dilarapkeun ka aplikasi anu nganggo BerkeleyDB dina bentuk perpustakaan a - Cumi-cumi disadiakeun dina lisénsi GPLv2, sarta AGPL teu cocog sareng GPLv2. Gantina Berkeley DB, proyék ieu ditransfer ka pamakéan DBMS TrivialDB, nu, kawas Berkeley DB, dioptimalkeun pikeun aksés paralel simultaneous kana database. Pangrojong Berkeley DB dipikagaduh pikeun ayeuna, tapi panangan "ext_session_acl" sareng "ext_time_quota_acl" ayeuna nyarankeun ngagunakeun jinis panyimpen "libtdb" tinimbang "libdb".
- Ditambahkeun dukungan pikeun header HTTP CDN-Loop, didefinisikeun dina RFC 8586, anu ngamungkinkeun anjeun ngadeteksi puteran nalika nganggo jaringan pangiriman eusi (header nyayogikeun panyalindungan tina kaayaan nalika pamundut dina prosés alihan antara CDN kusabab sababaraha alesan balik deui ka CDN aslina, ngabentuk loop sajajalan).
- Mékanisme SSL-Bump, anu ngamungkinkeun anjeun nyegat eusi sési HTTPS énkripsi, parantos nambihan dukungan pikeun alihan pamundut HTTPS spoofed (diénkripsi deui) ngalangkungan server proxy anu sanés dina cache_peer, nganggo torowongan biasa dumasar kana metode HTTP CONNECT ( transmisi via HTTPS teu dirojong, saprak Squid teu acan tiasa ngangkut TLS dina TLS). SSL-Bump ngidinan Anjeun pikeun nyieun sambungan TLS jeung server udagan sanggeus narima pamundut HTTPS munggaran disadap tur meunangkeun sertipikat na. Saatos ieu, Squid nganggo hostname tina sertipikat nyata anu ditampi ti server sareng nyiptakeun sertipikat dummy, dimana éta niru server anu dipénta nalika berinteraksi sareng klien, bari terus nganggo sambungan TLS anu didirikeun sareng server target pikeun nampi data ( ku kituna substitusi teu ngakibatkeun warnings kaluaran dina panyungsi di sisi klien, Anjeun kudu nambahkeun sertipikat anjeun dipaké pikeun ngahasilkeun sertipikat fiktif ka toko sertipikat root).
- Ditambahkeun mark_client_connection na mark_client_pack diréktif pikeun meungkeut tanda Netfilter (CONNMARK) kana sambungan TCP klien atawa pakét individu.
Panas dina tumitna, sékrési Squid 5.2 sareng Squid 4.17 diterbitkeun, dimana kerentananna dibereskeun:
- CVE-2021-28116 - Inpormasi bocor nalika ngolah pesen WCCPv2 anu didamel khusus. Kerentanan ngamungkinkeun panyerang ngaruksak daptar router WCCP anu dipikanyaho sareng alihan lalu lintas ti klien server proxy ka host na. Masalahna ngan ukur muncul dina konfigurasi kalayan dukungan WCCPv2 diaktipkeun sareng nalika mungkin pikeun ngabobodo alamat IP router.
- CVE-2021-41611 - Masalah dina verifikasi sertipikat TLS ngamungkinkeun aksés nganggo sertipikat anu teu dipercaya.
sumber: opennet.ru