புரோஹோஸ்டர் > Блог > இணைய செய்தி > Squid 5 ப்ராக்ஸி சேவையகத்தின் நிலையான வெளியீடு

Squid 5 ப்ராக்ஸி சேவையகத்தின் நிலையான வெளியீடு

மூன்று வருட வளர்ச்சிக்குப் பிறகு, Squid 5.1 ப்ராக்ஸி சேவையகத்தின் நிலையான வெளியீடு வழங்கப்பட்டது, உற்பத்தி அமைப்புகளில் பயன்படுத்தத் தயாராக உள்ளது (வெளியீடுகள் 5.0.x பீட்டா பதிப்புகளின் நிலையைப் பெற்றிருந்தது). 5.x கிளைக்கு நிலையான அந்தஸ்து வழங்கப்பட்ட பிறகு, இனி அதில் பாதிப்புகள் மற்றும் நிலைப்புத்தன்மை சிக்கல்களுக்கான திருத்தங்கள் மட்டுமே செய்யப்படும், மேலும் சிறிய மேம்படுத்தல்களும் அனுமதிக்கப்படும். புதிய அம்சங்களின் மேம்பாடு புதிய சோதனைக் கிளை 6.0 இல் மேற்கொள்ளப்படும். முந்தைய நிலையான 4.x கிளையின் பயனர்கள் 5.x கிளைக்கு இடம்பெயர திட்டமிடுமாறு அறிவுறுத்தப்படுகிறார்கள்.

ஸ்க்விட் 5 இல் முக்கிய கண்டுபிடிப்புகள்:

  • வெளிப்புற உள்ளடக்க சரிபார்ப்பு அமைப்புகளுடன் ஒருங்கிணைக்கப் பயன்படுத்தப்படும் ICAP (இணைய உள்ளடக்கத் தழுவல் நெறிமுறை) செயல்படுத்தல், தரவு இணைப்பு பொறிமுறைக்கு (டிரெய்லர்) ஆதரவைச் சேர்த்துள்ளது, இது செய்திக்குப் பின் வைக்கப்படும் பதிலுக்கு மெட்டாடேட்டாவுடன் கூடுதல் தலைப்புகளை இணைக்க உங்களை அனுமதிக்கிறது. உடல் (உதாரணமாக, நீங்கள் ஒரு செக்சம் மற்றும் அடையாளம் காணப்பட்ட சிக்கல்கள் பற்றிய விவரங்களை அனுப்பலாம்).
  • கோரிக்கைகளை திசைதிருப்பும்போது, ​​கிடைக்கக்கூடிய அனைத்து IPv4 மற்றும் IPv6 இலக்கு முகவரிகள் தீர்க்கப்படும் வரை காத்திருக்காமல், பெறப்பட்ட IP முகவரியை உடனடியாகப் பயன்படுத்தும் “Happy Eyeballs” அல்காரிதம் பயன்படுத்தப்படுகிறது. IPv4 அல்லது IPv4 முகவரிக் குடும்பம் பயன்படுத்தப்படுகிறதா என்பதைத் தீர்மானிக்க "dns_v6_first" அமைப்பைப் பயன்படுத்துவதற்குப் பதிலாக, DNS பதிலின் வரிசை இப்போது கணக்கில் எடுத்துக்கொள்ளப்படுகிறது: IP முகவரியைத் தீர்க்க காத்திருக்கும் போது DNS AAAA பதில் முதலில் வந்தால், பின் இதன் விளைவாக IPv6 முகவரி பயன்படுத்தப்படும். எனவே, ஃபயர்வால், டிஎன்எஸ் அல்லது ஸ்டார்ட்அப் மட்டத்தில் "--disable-ipv6" விருப்பத்தின் மூலம் விருப்பமான முகவரி குடும்பம் அமைக்கப்படுகிறது. முன்மொழியப்பட்ட மாற்றம், TCP இணைப்புகளின் அமைவு நேரத்தை விரைவுபடுத்தவும் மற்றும் DNS தீர்மானத்தின் போது ஏற்படும் தாமதங்களின் செயல்திறன் தாக்கத்தைக் குறைக்கவும் அனுமதிக்கிறது.
  • "external_acl" கட்டளையில் பயன்படுத்த, "ext_kerberos_sid_group_acl" ஹேண்ட்லர் கெர்பரோஸைப் பயன்படுத்தி ஆக்டிவ் டைரக்டரியில் குழு சரிபார்ப்புடன் அங்கீகரிப்பதற்காக சேர்க்கப்பட்டுள்ளது. குழுவின் பெயரை வினவ, OpenLDAP தொகுப்பால் வழங்கப்பட்ட ldapsearch பயன்பாட்டைப் பயன்படுத்தவும்.
  • உரிமச் சிக்கல்கள் காரணமாக பெர்க்லி டிபி வடிவமைப்பிற்கான ஆதரவு நிராகரிக்கப்பட்டது. Berkeley DB 5.x கிளை பல ஆண்டுகளாக பராமரிக்கப்படவில்லை மற்றும் இணைக்கப்படாத பாதிப்புகளுடன் உள்ளது, மேலும் AGPLv3 க்கு உரிமம் மாற்றுவதன் மூலம் புதிய வெளியீடுகளுக்கு மாறுவது தடுக்கப்படுகிறது, இதன் தேவைகள் BerkeleyDB ஐப் பயன்படுத்தும் பயன்பாடுகளுக்கும் பொருந்தும். ஒரு நூலகம் - Squid GPLv2 உரிமத்தின் கீழ் வழங்கப்படுகிறது, மேலும் AGPL GPLv2 உடன் இணங்கவில்லை. பெர்க்லி டிபிக்கு பதிலாக, இந்தத் திட்டம் ட்ரிவல்டிபி டிபிஎம்எஸ் பயன்பாட்டிற்கு மாற்றப்பட்டது, இது பெர்க்லி டிபியைப் போலன்றி, தரவுத்தளத்திற்கு ஒரே நேரத்தில் இணையான அணுகலுக்கு உகந்ததாக உள்ளது. பெர்க்லி DB ஆதரவு தற்போது தக்கவைக்கப்பட்டுள்ளது, ஆனால் "ext_session_acl" மற்றும் "ext_time_quota_acl" ஹேண்ட்லர்கள் இப்போது "libdb" க்குப் பதிலாக "libtdb" சேமிப்பக வகையைப் பயன்படுத்த பரிந்துரைக்கின்றனர்.
  • CDN-Loop HTTP தலைப்புக்கான ஆதரவு சேர்க்கப்பட்டது, RFC 8586 இல் வரையறுக்கப்பட்டுள்ளது, இது உள்ளடக்க விநியோக நெட்வொர்க்குகளைப் பயன்படுத்தும் போது சுழல்களைக் கண்டறிய உங்களை அனுமதிக்கிறது (சிடிஎன்களுக்கு இடையில் சில காரணங்களால் திசைதிருப்பும் செயல்பாட்டில் ஒரு கோரிக்கை திரும்பும் போது தலைப்பு பாதுகாப்பு வழங்குகிறது. அசல் CDN, ஒரு முடிவற்ற வளையத்தை உருவாக்குகிறது ).
  • மறைகுறியாக்கப்பட்ட HTTPS அமர்வுகளின் உள்ளடக்கங்களை இடைமறிக்க உங்களை அனுமதிக்கும் SSL-Bump பொறிமுறையானது, HTTP CONNECT முறையின் அடிப்படையில் வழக்கமான சுரங்கப்பாதையைப் பயன்படுத்தி, cache_peer இல் குறிப்பிடப்பட்டுள்ள பிற ப்ராக்ஸி சேவையகங்கள் மூலம் ஏமாற்றப்பட்ட (மீண்டும் குறியாக்கம் செய்யப்பட்ட) HTTPS கோரிக்கைகளைத் திருப்பிவிடுவதற்கான ஆதரவைச் சேர்த்துள்ளது ( HTTPS வழியாக பரிமாற்றம் ஆதரிக்கப்படவில்லை, ஏனெனில் Squid TLS க்குள் TLS ஐ இன்னும் கொண்டு செல்ல முடியாது). முதலில் இடைமறித்த HTTPS கோரிக்கையைப் பெற்று, அதன் சான்றிதழைப் பெறும்போது இலக்கு சேவையகத்துடன் TLS இணைப்பை ஏற்படுத்த SSL-Bump உங்களை அனுமதிக்கிறது. இதற்குப் பிறகு, ஸ்க்விட் சேவையகத்திலிருந்து பெறப்பட்ட உண்மையான சான்றிதழில் இருந்து ஹோஸ்ட்பெயரைப் பயன்படுத்துகிறது மற்றும் ஒரு போலி சான்றிதழை உருவாக்குகிறது, இது கிளையண்டுடன் தொடர்பு கொள்ளும்போது கோரப்பட்ட சேவையகத்தைப் பின்பற்றுகிறது, அதே நேரத்தில் தரவைப் பெற இலக்கு சேவையகத்துடன் நிறுவப்பட்ட TLS இணைப்பைத் தொடர்ந்து பயன்படுத்துகிறது ( கிளையன்ட் பக்கத்தில் உள்ள உலாவிகளில் வெளியீட்டு எச்சரிக்கைகளுக்கு மாற்றீடு வழிவகுக்காது, ரூட் சான்றிதழ் கடையில் கற்பனையான சான்றிதழ்களை உருவாக்கப் பயன்படுத்தப்படும் உங்கள் சான்றிதழை நீங்கள் சேர்க்க வேண்டும்).
  • கிளையன்ட் TCP இணைப்புகள் அல்லது தனிப்பட்ட பாக்கெட்டுகளுக்கு Netfilter மதிப்பெண்களை (CONNMARK) பிணைக்க mark_client_connection மற்றும் mark_client_pack வழிமுறைகள் சேர்க்கப்பட்டது.

அவர்களின் குதிகால் சூடாக, Squid 5.2 மற்றும் Squid 4.17 வெளியீடுகள் வெளியிடப்பட்டன, அதில் பாதிப்புகள் சரி செய்யப்பட்டன:

  • CVE-2021-28116 - சிறப்பாக வடிவமைக்கப்பட்ட WCCPv2 செய்திகளைச் செயலாக்கும்போது தகவல் கசிவு. பாதிப்பு, அறியப்பட்ட WCCP ரவுட்டர்களின் பட்டியலைச் சிதைப்பதற்கும், ப்ராக்ஸி சர்வர் கிளையண்டுகளிடமிருந்து போக்குவரத்தை அவர்களின் ஹோஸ்டுக்குத் திருப்பிவிடுவதற்கும் தாக்குபவர் அனுமதிக்கிறது. WCCPv2 ஆதரவு இயக்கப்பட்ட உள்ளமைவுகளில் மட்டுமே சிக்கல் தோன்றும் மற்றும் ரூட்டரின் IP முகவரியை ஏமாற்ற முடியும்.
  • CVE-2021-41611 - TLS சான்றிதழ் சரிபார்ப்பில் உள்ள சிக்கல் நம்பத்தகாத சான்றிதழ்களைப் பயன்படுத்தி அணுகலை அனுமதிக்கிறது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்