Efter tre års utveckling har en stabil utgåva av Squid 5.1 proxyservern presenterats, redo att användas på produktionssystem (releaser 5.0.x hade status som betaversioner). Efter att 5.x-grenen har fått stabil status kommer från och med nu endast korrigeringar för sårbarheter och stabilitetsproblem att göras i den, och mindre optimeringar är också tillåtna. Utvecklingen av nya funktioner kommer att utföras i den nya experimentgrenen 6.0. Användare av den tidigare stabila 4.x-grenen rekommenderas att planera att migrera till 5.x-grenen.
Viktiga innovationer i Squid 5:
- Implementeringen av ICAP (Internet Content Adaptation Protocol), som används för integration med externa innehållsverifieringssystem, har lagt till stöd för en databifogningsmekanism (trailer), som låter dig bifoga ytterligare rubriker med metadata till svaret, placerade efter meddelandet body (du kan till exempel skicka en kontrollsumma och detaljer om de identifierade problemen).
- Vid omdirigering av förfrågningar används algoritmen "Happy Eyeballs", som omedelbart använder den mottagna IP-adressen, utan att vänta på att alla potentiellt tillgängliga IPv4- och IPv6-måladresser ska lösas. Istället för att använda inställningen "dns_v4_first" för att avgöra om en IPv4- eller IPv6-adressfamilj används, tas nu hänsyn till ordningen för DNS-svaret: om DNS AAAA-svaret kommer först när man väntar på att en IP-adress ska lösas, då resulterande IPv6-adress kommer att användas. Inställningen av den föredragna adressfamiljen görs nu på brandväggs-, DNS- eller startnivå med alternativet "--disable-ipv6". Den föreslagna ändringen gör att vi kan påskynda installationstiden för TCP-anslutningar och minska prestandapåverkan av förseningar under DNS-upplösning.
- För användning i "external_acl"-direktivet har "ext_kerberos_sid_group_acl"-hanteraren lagts till för autentisering med gruppkontroll i Active Directory med Kerberos. För att fråga gruppnamnet, använd ldapsearch-verktyget som tillhandahålls av OpenLDAP-paketet.
- Stöd för Berkeley DB-formatet har fasats ut på grund av licensproblem. Berkeley DB 5.x-grenen har inte underhållits på flera år och kvarstår med oparpade sårbarheter, och övergången till nyare utgåvor förhindras av en licensändring till AGPLv3, vars krav även gäller för applikationer som använder BerkeleyDB i form av ett bibliotek - Squid tillhandahålls under GPLv2-licensen och AGPL är inte kompatibel med GPLv2. Istället för Berkeley DB överfördes projektet till användning av TrivialDB DBMS, som till skillnad från Berkeley DB är optimerat för samtidig parallell åtkomst till databasen. Stödet för Berkeley DB behålls för närvarande, men hanterarna "ext_session_acl" och "ext_time_quota_acl" rekommenderar nu att du använder lagringstypen "libtdb" istället för "libdb".
- Tillagt stöd för CDN-Loop HTTP-huvudet, definierat i RFC 8586, vilket gör att du kan upptäcka loopar när du använder innehållsleveransnätverk (headern ger skydd mot situationer när en begäran i processen att omdirigera mellan CDN av någon anledning återvänder till original-CDN, som bildar en ändlös slinga).
- SSL-Bump-mekanismen, som gör att du kan fånga upp innehållet i krypterade HTTPS-sessioner, har lagt till stöd för att omdirigera falska (omkrypterade) HTTPS-förfrågningar genom andra proxyservrar specificerade i cache_peer, med en vanlig tunnel baserad på HTTP CONNECT-metoden ( överföring via HTTPS stöds inte, eftersom Squid ännu inte kan transportera TLS inom TLS). SSL-Bump låter dig upprätta en TLS-anslutning med målservern vid mottagandet av den första avlyssnade HTTPS-förfrågan och få dess certifikat. Efter detta använder Squid värdnamnet från det riktiga certifikatet som tas emot från servern och skapar ett dummycertifikat, med vilket det imiterar den begärda servern när den interagerar med klienten, samtidigt som den fortsätter att använda TLS-anslutningen som upprättats med målservern för att ta emot data ( så att substitutionen inte leder till utmatningsvarningarna i webbläsare på klientsidan, måste du lägga till ditt certifikat som används för att generera fiktiva certifikat till rotcertifikatlagret).
- Lade till direktiv mark_client_connection och mark_client_pack för att binda Netfilter-märken (CONNMARK) till klientens TCP-anslutningar eller enskilda paket.
Hot på hälarna publicerades utgåvorna av Squid 5.2 och Squid 4.17, där sårbarheterna fixades:
- CVE-2021-28116 - Informationsläckage vid bearbetning av specialgjorda WCCPv2-meddelanden. Sårbarheten tillåter en angripare att korrumpera listan över kända WCCP-routrar och omdirigera trafik från proxyserverklienter till sin värd. Problemet uppstår endast i konfigurationer med WCCPv2-stöd aktiverat och när det är möjligt att förfalska routerns IP-adress.
- CVE-2021-41611 - Ett problem i TLS-certifikatverifiering tillåter åtkomst med otillförlitliga certifikat.
Källa: opennet.ru