ProHoster > Блог > இணைய செய்தி > Squid 5 ப்ராக்ஸி சேவையகத்தின் நிலையான வெளியீடு

Squid 5 ப்ராக்ஸி சேவையகத்தின் நிலையான வெளியீடு

மூன்று வருட வளர்ச்சிக்குப் பிறகு, Squid 5.1 ப்ராக்ஸி சேவையகத்தின் நிலையான வெளியீடு வழங்கப்பட்டது, உற்பத்தி அமைப்புகளில் பயன்படுத்தத் தயாராக உள்ளது (வெளியீடுகள் 5.0.x பீட்டா பதிப்புகளின் நிலையைப் பெற்றிருந்தது). 5.x கிளைக்கு நிலையான அந்தஸ்து வழங்கப்பட்ட பிறகு, இனி அதில் பாதிப்புகள் மற்றும் நிலைப்புத்தன்மை சிக்கல்களுக்கான திருத்தங்கள் மட்டுமே செய்யப்படும், மேலும் சிறிய மேம்படுத்தல்களும் அனுமதிக்கப்படும். புதிய அம்சங்களின் மேம்பாடு புதிய சோதனைக் கிளை 6.0 இல் மேற்கொள்ளப்படும். முந்தைய நிலையான 4.x கிளையின் பயனர்கள் 5.x கிளைக்கு இடம்பெயர திட்டமிடுமாறு அறிவுறுத்தப்படுகிறார்கள்.

ஸ்க்விட் 5 இல் முக்கிய கண்டுபிடிப்புகள்:

  • வெளிப்புற உள்ளடக்க சரிபார்ப்பு அமைப்புகளுடன் ஒருங்கிணைக்கப் பயன்படுத்தப்படும் ICAP (இணைய உள்ளடக்கத் தழுவல் நெறிமுறை) செயல்படுத்தல், தரவு இணைப்பு பொறிமுறைக்கு (டிரெய்லர்) ஆதரவைச் சேர்த்துள்ளது, இது செய்திக்குப் பின் வைக்கப்படும் பதிலுக்கு மெட்டாடேட்டாவுடன் கூடுதல் தலைப்புகளை இணைக்க உங்களை அனுமதிக்கிறது. உடல் (உதாரணமாக, நீங்கள் ஒரு செக்சம் மற்றும் அடையாளம் காணப்பட்ட சிக்கல்கள் பற்றிய விவரங்களை அனுப்பலாம்).
  • கோரிக்கைகளை திருப்பிவிடும்போது, ​​"ஹேப்பி ஐபால்ஸ்" வழிமுறை பயன்படுத்தப்படுகிறது, இது கிடைக்கக்கூடிய அனைத்து IPv4 மற்றும் IPv6 இலக்கு முகவரிகளும் தீர்க்கப்படும் வரை காத்திருக்காமல் பெறப்பட்ட IP முகவரியை உடனடியாகப் பயன்படுத்துகிறது. IPv4 அல்லது IPv6 முகவரி குடும்பத்தைப் பயன்படுத்த வேண்டிய வரிசையைத் தீர்மானிக்க "dns_v4_first" அமைப்பைப் பயன்படுத்துவதற்குப் பதிலாக, DNS மறுமொழி வரிசை இப்போது கணக்கில் எடுத்துக்கொள்ளப்படுகிறது: தீர்வுக்காகக் காத்திருக்கும்போது, ஐபி முகவரிகள் முதல் DNS AAAA பதில் பெறப்பட்டால், அதன் விளைவாக வரும் IPv6 முகவரி பயன்படுத்தப்படும். எனவே, விருப்பமான முகவரி குடும்பத்தை உள்ளமைப்பது இப்போது "--disable-ipv6" விருப்பத்துடன் ஃபயர்வால், DNS அல்லது தொடக்க மட்டத்தில் செய்யப்படுகிறது. இந்த முன்மொழியப்பட்ட மாற்றம் TCP இணைப்பு அமைவு நேரங்களை மேம்படுத்துகிறது மற்றும் செயல்திறனில் DNS தெளிவுத்திறன் தாமதத்தின் தாக்கத்தைக் குறைக்கிறது.
  • "external_acl" கட்டளையில் பயன்படுத்த, "ext_kerberos_sid_group_acl" ஹேண்ட்லர் கெர்பரோஸைப் பயன்படுத்தி ஆக்டிவ் டைரக்டரியில் குழு சரிபார்ப்புடன் அங்கீகரிப்பதற்காக சேர்க்கப்பட்டுள்ளது. குழுவின் பெயரை வினவ, OpenLDAP தொகுப்பால் வழங்கப்பட்ட ldapsearch பயன்பாட்டைப் பயன்படுத்தவும்.
  • உரிமச் சிக்கல்கள் காரணமாக பெர்க்லி டிபி வடிவமைப்பிற்கான ஆதரவு நிராகரிக்கப்பட்டது. Berkeley DB 5.x கிளை பல ஆண்டுகளாக பராமரிக்கப்படவில்லை மற்றும் இணைக்கப்படாத பாதிப்புகளுடன் உள்ளது, மேலும் AGPLv3 க்கு உரிமம் மாற்றுவதன் மூலம் புதிய வெளியீடுகளுக்கு மாறுவது தடுக்கப்படுகிறது, இதன் தேவைகள் BerkeleyDB ஐப் பயன்படுத்தும் பயன்பாடுகளுக்கும் பொருந்தும். ஒரு நூலகம் - Squid GPLv2 உரிமத்தின் கீழ் வழங்கப்படுகிறது, மேலும் AGPL GPLv2 உடன் இணங்கவில்லை. பெர்க்லி டிபிக்கு பதிலாக, இந்தத் திட்டம் ட்ரிவல்டிபி டிபிஎம்எஸ் பயன்பாட்டிற்கு மாற்றப்பட்டது, இது பெர்க்லி டிபியைப் போலன்றி, தரவுத்தளத்திற்கு ஒரே நேரத்தில் இணையான அணுகலுக்கு உகந்ததாக உள்ளது. பெர்க்லி DB ஆதரவு தற்போது தக்கவைக்கப்பட்டுள்ளது, ஆனால் "ext_session_acl" மற்றும் "ext_time_quota_acl" ஹேண்ட்லர்கள் இப்போது "libdb" க்குப் பதிலாக "libtdb" சேமிப்பக வகையைப் பயன்படுத்த பரிந்துரைக்கின்றனர்.
  • CDN-Loop HTTP தலைப்புக்கான ஆதரவு சேர்க்கப்பட்டது, RFC 8586 இல் வரையறுக்கப்பட்டுள்ளது, இது உள்ளடக்க விநியோக நெட்வொர்க்குகளைப் பயன்படுத்தும் போது சுழல்களைக் கண்டறிய உங்களை அனுமதிக்கிறது (சிடிஎன்களுக்கு இடையில் சில காரணங்களால் திசைதிருப்பும் செயல்பாட்டில் ஒரு கோரிக்கை திரும்பும் போது தலைப்பு பாதுகாப்பு வழங்குகிறது. அசல் CDN, ஒரு முடிவற்ற வளையத்தை உருவாக்குகிறது ).
  • மறைகுறியாக்கப்பட்ட HTTPS அமர்வுகளின் உள்ளடக்கங்களை இடைமறிக்க உங்களை அனுமதிக்கும் SSL-Bump பொறிமுறையானது, HTTP CONNECT முறையின் அடிப்படையில் வழக்கமான சுரங்கப்பாதையைப் பயன்படுத்தி, cache_peer இல் குறிப்பிடப்பட்டுள்ள பிற ப்ராக்ஸி சேவையகங்கள் மூலம் ஏமாற்றப்பட்ட (மீண்டும் குறியாக்கம் செய்யப்பட்ட) HTTPS கோரிக்கைகளைத் திருப்பிவிடுவதற்கான ஆதரவைச் சேர்த்துள்ளது ( HTTPS வழியாக பரிமாற்றம் ஆதரிக்கப்படவில்லை, ஏனெனில் Squid TLS க்குள் TLS ஐ இன்னும் கொண்டு செல்ல முடியாது). முதலில் இடைமறித்த HTTPS கோரிக்கையைப் பெற்று, அதன் சான்றிதழைப் பெறும்போது இலக்கு சேவையகத்துடன் TLS இணைப்பை ஏற்படுத்த SSL-Bump உங்களை அனுமதிக்கிறது. இதற்குப் பிறகு, ஸ்க்விட் சேவையகத்திலிருந்து பெறப்பட்ட உண்மையான சான்றிதழில் இருந்து ஹோஸ்ட்பெயரைப் பயன்படுத்துகிறது மற்றும் ஒரு போலி சான்றிதழை உருவாக்குகிறது, இது கிளையண்டுடன் தொடர்பு கொள்ளும்போது கோரப்பட்ட சேவையகத்தைப் பின்பற்றுகிறது, அதே நேரத்தில் தரவைப் பெற இலக்கு சேவையகத்துடன் நிறுவப்பட்ட TLS இணைப்பைத் தொடர்ந்து பயன்படுத்துகிறது ( கிளையன்ட் பக்கத்தில் உள்ள உலாவிகளில் வெளியீட்டு எச்சரிக்கைகளுக்கு மாற்றீடு வழிவகுக்காது, ரூட் சான்றிதழ் கடையில் கற்பனையான சான்றிதழ்களை உருவாக்கப் பயன்படுத்தப்படும் உங்கள் சான்றிதழை நீங்கள் சேர்க்க வேண்டும்).
  • கிளையன்ட் TCP இணைப்புகள் அல்லது தனிப்பட்ட பாக்கெட்டுகளுக்கு Netfilter மதிப்பெண்களை (CONNMARK) பிணைக்க mark_client_connection மற்றும் mark_client_pack வழிமுறைகள் சேர்க்கப்பட்டது.

அவர்களின் குதிகால் சூடாக, Squid 5.2 மற்றும் Squid 4.17 வெளியீடுகள் வெளியிடப்பட்டன, அதில் பாதிப்புகள் சரி செய்யப்பட்டன:

  • CVE-2021-28116 - சிறப்பாக வடிவமைக்கப்பட்ட WCCPv2 செய்திகளைச் செயலாக்கும்போது தகவல் கசிவு. பாதிப்பு, அறியப்பட்ட WCCP ரவுட்டர்களின் பட்டியலைச் சிதைப்பதற்கும், ப்ராக்ஸி சர்வர் கிளையண்டுகளிடமிருந்து போக்குவரத்தை அவர்களின் ஹோஸ்டுக்குத் திருப்பிவிடுவதற்கும் தாக்குபவர் அனுமதிக்கிறது. WCCPv2 ஆதரவு இயக்கப்பட்ட உள்ளமைவுகளில் மட்டுமே சிக்கல் தோன்றும் மற்றும் ரூட்டரின் IP முகவரியை ஏமாற்ற முடியும்.
  • CVE-2021-41611 - சரிபார்ப்புப் பிழை TLS சான்றிதழ்கள், இது நம்பத்தகாத சான்றிதழ்களைப் பயன்படுத்தி அணுகலை அனுமதிக்கிறது.

ஆதாரம்: opennet.ru

DDoS பாதுகாப்பு, VPS VDS சர்வர்கள் கொண்ட தளங்களுக்கு நம்பகமான ஹோஸ்டிங் வாங்கவும் 🔥 DDoS பாதுகாப்புடன் கூடிய நம்பகமான இணையதள ஹோஸ்டிங், VPS, VDS சர்வர்களை வாங்குங்கள் | ProHoster