ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > Squid 5 ప్రాక్సీ సర్వర్ యొక్క స్థిరమైన విడుదల

Squid 5 ప్రాక్సీ సర్వర్ యొక్క స్థిరమైన విడుదల

మూడు సంవత్సరాల అభివృద్ధి తర్వాత, స్క్విడ్ 5.1 ప్రాక్సీ సర్వర్ యొక్క స్థిరమైన విడుదల అందించబడింది, ఉత్పత్తి సిస్టమ్‌లలో ఉపయోగించడానికి సిద్ధంగా ఉంది (విడుదలలు 5.0.x బీటా వెర్షన్‌ల స్థితిని కలిగి ఉంది). 5.x బ్రాంచ్‌కు స్థిరమైన స్థితిని అందించిన తర్వాత, ఇక నుండి దానిలో దుర్బలత్వాలు మరియు స్థిరత్వ సమస్యల పరిష్కారాలు మాత్రమే చేయబడతాయి మరియు చిన్న ఆప్టిమైజేషన్‌లు కూడా అనుమతించబడతాయి. కొత్త ఫీచర్ల అభివృద్ధి కొత్త ప్రయోగాత్మక శాఖ 6.0లో నిర్వహించబడుతుంది. మునుపటి స్థిరమైన 4.x బ్రాంచ్‌లోని వినియోగదారులు 5.x బ్రాంచ్‌కి వలస వెళ్లాలని ప్లాన్ చేసుకోవాలని సూచించారు.

స్క్విడ్ 5లో కీలక ఆవిష్కరణలు:

  • బాహ్య కంటెంట్ ధృవీకరణ సిస్టమ్‌లతో అనుసంధానం కోసం ఉపయోగించే ICAP (ఇంటర్నెట్ కంటెంట్ అడాప్టేషన్ ప్రోటోకాల్) అమలు, డేటా అటాచ్‌మెంట్ మెకానిజం (ట్రైలర్)కి మద్దతును జోడించింది, ఇది సందేశం తర్వాత ఉంచబడిన ప్రతిస్పందనకు మెటాడేటాతో అదనపు శీర్షికలను జోడించడానికి మిమ్మల్ని అనుమతిస్తుంది. శరీరం (ఉదాహరణకు, మీరు గుర్తించిన సమస్యల గురించి చెక్సమ్ మరియు వివరాలను పంపవచ్చు).
  • అభ్యర్థనలను దారి మళ్లిస్తున్నప్పుడు, అందుబాటులో ఉన్న అన్ని IPv4 మరియు IPv6 లక్ష్య చిరునామాలు పరిష్కరించబడే వరకు వేచి ఉండకుండా, అందుకున్న IP చిరునామాను వెంటనే ఉపయోగించే “హ్యాపీ ఐబాల్స్” అల్గారిథమ్ ఉపయోగించబడుతుంది. IPv4 లేదా IPv4 చిరునామా కుటుంబం ఉపయోగించబడిందో లేదో నిర్ధారించడానికి "dns_v6_first" సెట్టింగ్‌ని ఉపయోగించే బదులు, DNS ప్రతిస్పందన యొక్క క్రమాన్ని ఇప్పుడు పరిగణనలోకి తీసుకుంటారు: IP చిరునామా పరిష్కారం కోసం వేచి ఉన్నప్పుడు DNS AAAA ప్రతిస్పందన ముందుగా వచ్చినట్లయితే, తర్వాత ఫలితంగా IPv6 చిరునామా ఉపయోగించబడుతుంది. ఆ విధంగా, ఇప్పుడు "--disable-ipv6" ఎంపికతో ఫైర్‌వాల్, DNS లేదా స్టార్టప్ స్థాయిలో ప్రాధాన్య చిరునామా కుటుంబాన్ని సెట్ చేయడం జరుగుతుంది. ప్రతిపాదిత మార్పు TCP కనెక్షన్‌ల సెటప్ సమయాన్ని వేగవంతం చేయడానికి మరియు DNS రిజల్యూషన్ సమయంలో ఆలస్యం యొక్క పనితీరు ప్రభావాన్ని తగ్గించడానికి మాకు అనుమతిస్తుంది.
  • "external_acl" డైరెక్టివ్‌లో ఉపయోగం కోసం, Kerberosని ఉపయోగించి యాక్టివ్ డైరెక్టరీలో గ్రూప్ చెకింగ్‌తో ప్రామాణీకరణ కోసం "ext_kerberos_sid_group_acl" హ్యాండ్లర్ జోడించబడింది. సమూహం పేరును ప్రశ్నించడానికి, OpenLDAP ప్యాకేజీ అందించిన ldapsearch యుటిలిటీని ఉపయోగించండి.
  • లైసెన్సింగ్ సమస్యల కారణంగా బర్కిలీ DB ఫార్మాట్‌కు మద్దతు నిలిపివేయబడింది. Berkeley DB 5.x శాఖ అనేక సంవత్సరాలుగా నిర్వహించబడలేదు మరియు అన్‌ప్యాచ్ చేయని దుర్బలత్వాలతో మిగిలిపోయింది మరియు AGPLv3కి లైసెన్స్ మార్పు ద్వారా కొత్త విడుదలలకు మార్పు నిరోధించబడుతుంది, దీని అవసరాలు BerkeleyDBని ఉపయోగించే అప్లికేషన్‌లకు కూడా వర్తిస్తాయి లైబ్రరీ - స్క్విడ్ GPLv2 లైసెన్స్ క్రింద సరఫరా చేయబడుతుంది మరియు AGPL GPLv2కి అనుకూలంగా లేదు. బర్కిలీ DBకి బదులుగా, ప్రాజెక్ట్ ట్రివియల్‌డిబి డిబిఎంఎస్ వినియోగానికి బదిలీ చేయబడింది, ఇది బర్కిలీ డిబిలా కాకుండా, డేటాబేస్‌కు ఏకకాలంలో సమాంతర యాక్సెస్ కోసం ఆప్టిమైజ్ చేయబడింది. Berkeley DB మద్దతు ప్రస్తుతానికి అలాగే ఉంచబడింది, అయితే "ext_session_acl" మరియు "ext_time_quota_acl" హ్యాండ్లర్లు ఇప్పుడు "libdb"కి బదులుగా "libtdb" స్టోరేజ్ రకాన్ని ఉపయోగించమని సిఫార్సు చేస్తున్నారు.
  • RFC 8586లో నిర్వచించబడిన CDN-Loop HTTP హెడర్‌కు మద్దతు జోడించబడింది, ఇది కంటెంట్ డెలివరీ నెట్‌వర్క్‌లను ఉపయోగిస్తున్నప్పుడు లూప్‌లను గుర్తించడానికి మిమ్మల్ని అనుమతిస్తుంది (కొన్ని కారణాల వల్ల CDNల మధ్య మళ్లింపు ప్రక్రియలో అభ్యర్థన తిరిగి వచ్చినప్పుడు హెడర్ పరిస్థితుల నుండి రక్షణను అందిస్తుంది అసలైన CDN, అంతులేని లూప్‌ను ఏర్పరుస్తుంది ).
  • గుప్తీకరించిన HTTPS సెషన్‌ల కంటెంట్‌లను అడ్డగించడానికి మిమ్మల్ని అనుమతించే SSL-Bump మెకానిజం, HTTP CONNECT పద్ధతి ఆధారంగా సాధారణ టన్నెల్‌ని ఉపయోగించి, cache_peerలో పేర్కొన్న ఇతర ప్రాక్సీ సర్వర్‌ల ద్వారా స్పూఫ్డ్ (రీ-ఎన్‌క్రిప్టెడ్) HTTPS అభ్యర్థనలను దారి మళ్లించడానికి మద్దతును జోడించింది ( HTTPS ద్వారా ప్రసారానికి మద్దతు లేదు, ఎందుకంటే స్క్విడ్ TLS లోపల TLSని ఇంకా రవాణా చేయలేదు). SSL-Bump మొదటి అడ్డగించిన HTTPS అభ్యర్థనను స్వీకరించిన తర్వాత లక్ష్య సర్వర్‌తో TLS కనెక్షన్‌ని ఏర్పాటు చేయడానికి మరియు దాని ప్రమాణపత్రాన్ని పొందేందుకు మిమ్మల్ని అనుమతిస్తుంది. దీని తర్వాత, స్క్విడ్ సర్వర్ నుండి స్వీకరించబడిన నిజమైన సర్టిఫికేట్ నుండి హోస్ట్ పేరును ఉపయోగిస్తుంది మరియు డేటాను స్వీకరించడానికి లక్ష్య సర్వర్‌తో ఏర్పాటు చేయబడిన TLS కనెక్షన్‌ని ఉపయోగించడం కొనసాగిస్తూ, క్లయింట్‌తో పరస్పర చర్య చేస్తున్నప్పుడు అభ్యర్థించిన సర్వర్‌ని అనుకరించే నకిలీ ప్రమాణపత్రాన్ని సృష్టిస్తుంది ( ప్రత్యామ్నాయం క్లయింట్ వైపు ఉన్న బ్రౌజర్‌లలో అవుట్‌పుట్ హెచ్చరికలకు దారితీయదు, మీరు రూట్ సర్టిఫికేట్ స్టోర్‌కు కల్పిత ప్రమాణపత్రాలను రూపొందించడానికి ఉపయోగించిన మీ ప్రమాణపత్రాన్ని జోడించాలి).
  • క్లయింట్ TCP కనెక్షన్‌లు లేదా వ్యక్తిగత ప్యాకెట్‌లకు నెట్‌ఫిల్టర్ మార్కులను (CONNMARK) బైండ్ చేయడానికి mark_client_connection మరియు mark_client_pack ఆదేశాలు జోడించబడ్డాయి.

వారి ముఖ్య విషయంగా, స్క్విడ్ 5.2 మరియు స్క్విడ్ 4.17 యొక్క విడుదలలు ప్రచురించబడ్డాయి, వీటిలో దుర్బలత్వాలు పరిష్కరించబడ్డాయి:

  • CVE-2021-28116 - ప్రత్యేకంగా రూపొందించిన WCCPv2 సందేశాలను ప్రాసెస్ చేస్తున్నప్పుడు సమాచార లీకేజీ. దుర్బలత్వం దాడి చేసే వ్యక్తి తెలిసిన WCCP రూటర్‌ల జాబితాను పాడు చేయడానికి మరియు ప్రాక్సీ సర్వర్ క్లయింట్‌ల నుండి ట్రాఫిక్‌ను వారి హోస్ట్‌కి దారి మళ్లించడానికి అనుమతిస్తుంది. WCCPv2 మద్దతు ప్రారంభించబడిన కాన్ఫిగరేషన్‌లలో మరియు రూటర్ యొక్క IP చిరునామాను మోసగించడం సాధ్యమైనప్పుడు మాత్రమే సమస్య కనిపిస్తుంది.
  • CVE-2021-41611 - TLS సర్టిఫికేట్ ధృవీకరణలో ఒక సమస్య అవిశ్వసనీయ ప్రమాణపత్రాలను ఉపయోగించి యాక్సెస్‌ని అనుమతిస్తుంది.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి