Baada ya miaka mitatu ya usanidi, toleo thabiti la seva mbadala ya Squid 5.1 limewasilishwa, tayari kutumika kwenye mifumo ya uzalishaji (matoleo 5.0.x yalikuwa na hadhi ya matoleo ya beta). Baada ya tawi la 5.x kupewa hali thabiti, kuanzia sasa marekebisho pekee ya udhaifu na matatizo ya uthabiti yatafanywa ndani yake, na uboreshaji mdogo pia unaruhusiwa. Uundaji wa vipengele vipya utafanywa katika tawi jipya la majaribio 6.0. Watumiaji wa tawi thabiti la 4.x la hapo awali wanashauriwa kupanga kuhamia tawi la 5.x.
Ubunifu muhimu katika Squid 5:
- Utekelezaji wa ICAP (Itifaki ya Kurekebisha Maudhui ya Mtandaoni), inayotumika kuunganishwa na mifumo ya uthibitishaji wa maudhui ya nje, umeongeza usaidizi wa utaratibu wa kuambatisha data (trela), ambayo inakuruhusu kuambatisha vichwa vya ziada vyenye metadata kwenye jibu, vilivyowekwa baada ya ujumbe. mwili (kwa mfano, unaweza kutuma hundi na maelezo kuhusu matatizo yaliyotambuliwa).
- Wakati wa kuelekeza maombi kwingine, algorithm ya "Furaha za Macho" hutumiwa, ambayo hutumia mara moja anwani ya IP iliyopokelewa, bila kusubiri anwani zote zinazoweza kupatikana za IPv4 na IPv6 kutatuliwa. Badala ya kutumia mpangilio wa "dns_v4_first" ili kubaini kama familia ya anwani ya IPv4 au IPv6 inatumiwa, mpangilio wa jibu la DNS sasa unazingatiwa: ikiwa jibu la DNS AAAA litafika kwanza wakati wa kusubiri anwani ya IP kusuluhishwa, basi anwani ya IPv6 inayotokana itatumika. Kwa hivyo, kuweka familia ya anwani inayopendekezwa sasa inafanywa kwenye ngome, DNS au kiwango cha kuanza kwa chaguo la "--disable-ipv6". Mabadiliko yanayopendekezwa huturuhusu kuharakisha muda wa kusanidi miunganisho ya TCP na kupunguza athari ya utendaji ya ucheleweshaji wakati wa utatuzi wa DNS.
- Kwa matumizi katika maagizo ya "external_acl", kidhibiti cha "ext_kerberos_sid_group_acl" kimeongezwa kwa ajili ya uthibitishaji na ukaguzi wa kikundi katika Active Directory kwa kutumia Kerberos. Ili kuuliza jina la kikundi, tumia matumizi ya ldapsearch iliyotolewa na kifurushi cha OpenLDAP.
- Usaidizi wa umbizo la Berkeley DB umeacha kutumika kwa sababu ya masuala ya leseni. Tawi la Berkeley DB 5.x halijadumishwa kwa miaka kadhaa na limesalia na udhaifu usio na kibandiko, na mpito kwa matoleo mapya zaidi unazuiwa na mabadiliko ya leseni hadi AGPLv3, ambayo mahitaji yake yanatumika pia kwa programu zinazotumia BerkeleyDB katika mfumo wa maktaba - Squid hutolewa chini ya leseni ya GPLv2, na AGPL haioani na GPLv2. Badala ya Berkeley DB, mradi ulihamishiwa kwa matumizi ya TrivialDB DBMS, ambayo, tofauti na Berkeley DB, imeboreshwa kwa ufikiaji sawia wa hifadhidata. Usaidizi wa Berkeley DB umesalia kwa sasa, lakini vidhibiti vya "ext_session_acl" na "ext_time_quota_acl" sasa vinapendekeza kutumia aina ya hifadhi ya "libtdb" badala ya "libdb".
- Usaidizi ulioongezwa kwa kichwa cha CDN-Loop HTTP, kilichofafanuliwa katika RFC 8586, ambayo hukuruhusu kugundua vitanzi unapotumia mitandao ya uwasilishaji wa yaliyomo (kichwa hutoa ulinzi dhidi ya hali wakati ombi katika mchakato wa kuelekeza upya kati ya CDN kwa sababu fulani linarudi kwenye CDN ya asili, kutengeneza kitanzi kisicho na mwisho).
- Utaratibu wa SSL-Bump, unaokuruhusu kuingilia maudhui ya vipindi vya HTTPS vilivyosimbwa kwa njia fiche, umeongeza usaidizi wa kuelekeza upya maombi ya HTTPS yaliyoharibiwa (iliyosimbwa upya) kupitia seva mbadala zilizobainishwa katika cache_peer, kwa kutumia mfereji wa kawaida kulingana na mbinu ya HTTP CONNECT ( usambazaji kupitia HTTPS hautumiki, kwa kuwa Squid bado haiwezi kusafirisha TLS ndani ya TLS). SSL-Bump hukuruhusu kuanzisha muunganisho wa TLS na seva inayolengwa baada ya kupokea ombi la kwanza la HTTPS lililoingiliwa na kupata cheti chake. Baada ya hayo, Squid hutumia jina la mwenyeji kutoka kwa cheti halisi kilichopokelewa kutoka kwa seva na kuunda cheti cha dummy, ambacho huiga seva iliyoombwa wakati wa kuingiliana na mteja, huku ikiendelea kutumia muunganisho wa TLS ulioanzishwa na seva inayolengwa kupokea data ( ili uingizwaji usipeleke kwa maonyo ya matokeo katika vivinjari kwenye upande wa mteja, unahitaji kuongeza cheti chako kinachotumiwa kutoa vyeti vya uwongo kwenye duka la cheti cha mizizi).
- Imeongeza alama_client_connection na alama_client_pack maagizo ili kufunga alama za Netfilter (CONNMARK) kwa miunganisho ya TCP ya mteja au pakiti za kibinafsi.
Moto kwenye visigino vyao, matoleo ya Squid 5.2 na Squid 4.17 yalichapishwa, ambapo udhaifu ulirekebishwa:
- CVE-2021-28116 - Uvujaji wa habari wakati wa kuchakata jumbe zilizoundwa mahususi za WCCPv2. Athari hii inamruhusu mshambulizi kuharibu orodha ya vipanga njia vinavyojulikana vya WCCP na kuelekeza upya trafiki kutoka kwa wateja wa seva mbadala hadi kwa mwenyeji wao. Tatizo linaonekana tu katika usanidi na usaidizi wa WCCPv2 umewezeshwa na inapowezekana kuharibu anwani ya IP ya kipanga njia.
- CVE-2021-41611 - Tatizo katika uthibitishaji wa cheti cha TLS huruhusu ufikiaji kwa kutumia vyeti visivyoaminika.
Chanzo: opennet.ru