Пас аз се соли рушд, версияи устувори сервери прокси Squid 5.1 пешниҳод карда шуд, ки барои истифода дар системаҳои истеҳсолӣ омода аст (релизҳои 5.0.x мақоми версияҳои бета доштанд). Пас аз он ки ба филиали 5.x мақоми устувор дода шуд, аз ин ба баъд танҳо ислоҳи осебпазириҳо ва мушкилоти устуворӣ дар он анҷом дода мешавад ва оптимизатсияи хурд низ иҷозат дода мешавад. Таҳияи хусусиятҳои нав дар шохаи нави таҷрибавии 6.0 амалӣ карда мешавад. Ба корбарони филиали қаблии устувори 4.x тавсия дода мешавад, ки ба филиали 5.x гузаришро ба нақша гиранд.
Навовариҳои асосӣ дар Squid 5:
- Татбиқи ICAP (Протоколи мутобиқсозии мундариҷаи Интернет), ки барои ҳамгироӣ бо системаҳои санҷиши мундариҷаи беруна истифода мешавад, дастгирии механизми замимаи маълумотро (трейлер) илова кардааст, ки ба шумо имкон медиҳад сарлавҳаҳои иловагиро бо метамаълумот ба посух, ки пас аз паём ҷойгир карда шудаанд, замима кунед. бадан (масалан, шумо метавонед маблағи чек ва тафсилотро дар бораи мушкилоти муайяншуда фиристед).
- Ҳангоми интиқоли дархостҳо, алгоритми "Happy Eyeballs" истифода мешавад, ки он фавран суроғаи IP-и қабулшударо бидуни мунтазири ҳалли ҳама суроғаҳои ҳадафии эҳтимолии IPv4 ва IPv6 истифода мебарад. Ба ҷои истифодаи танзимоти "dns_v4_first" барои муайян кардани он, ки оё оилаи суроғаҳои IPv4 ё IPv6 истифода мешавад, тартиби ҷавоби DNS ҳоло ба назар гирифта мешавад: агар посухи DNS AAAA аввал ҳангоми интизории ҳалли суроғаи IP ворид шавад, пас суроғаи IPv6 дар натиҷа истифода мешавад. Ҳамин тариқ, танзими оилаи суроғаҳои афзалиятнок ҳоло дар брандмауэр, DNS ё сатҳи оғозёбӣ бо имконоти "--disable-ipv6" анҷом дода мешавад. Тағйироти пешниҳодшуда ба мо имкон медиҳад, ки вақти насби пайвастҳои TCP-ро суръат бахшем ва таъсири иҷрои таъхирҳоро ҳангоми ҳалли DNS кам кунем.
- Барои истифода дар дастури "external_acl" коркардкунандаи "ext_kerberos_sid_group_acl" барои тасдиқи аутентификатсия бо тафтиши гурӯҳӣ дар Active Directory бо истифода аз Kerberos илова карда шудааст. Барои пурсиши номи гурӯҳ, утилитаи ldapsearch, ки бастаи OpenLDAP пешниҳод кардааст, истифода баред.
- Дастгирии формати Berkeley DB бо сабаби мушкилоти иҷозатномадиҳӣ бекор карда шудааст. Филиали Berkeley DB 5.x дар тӯли чанд сол нигоҳ дошта нашудааст ва осебпазирии бетағйир боқӣ мемонад ва гузариш ба релизҳои навтар тавассути тағир додани иҷозатнома ба AGPLv3 пешгирӣ карда мешавад, ки талаботи он инчунин ба замимаҳои истифодашавандаи BerkeleyDB дар шакли китобхона - Squid таҳти иҷозатномаи GPLv2 дода мешавад ва AGPL бо GPLv2 мувофиқ нест. Ба ҷои Berkeley DB, лоиҳа ба истифодаи DBMS TrivialDB интиқол дода шуд, ки бар хилофи Berkeley DB, барои дастрасии ҳамзамон ба пойгоҳи додаҳо оптимизатсия карда шудааст. Дастгирии DB Berkeley ҳоло нигоҳ дошта мешавад, аммо коркардкунандагони "ext_session_acl" ва "ext_time_quota_acl" ҳоло ба ҷои "libdb" навъи нигаҳдории "libtdb" -ро тавсия медиҳанд.
- Дастгирии иловашуда барои сарлавҳаи HTTP CDN-Loop, ки дар RFC 8586 муайян шудааст, ки ба шумо имкон медиҳад ҳалқаҳоро ҳангоми истифодаи шабакаҳои интиқоли мундариҷа муайян кунед (сарлавҳа аз ҳолатҳое муҳофизат мекунад, ки дархост дар ҷараёни масир байни CDN бо ягон сабаб бармегардад. CDN-и аслӣ, як ҳалқаи беохирро ташкил медиҳад).
- Механизми SSL-Bump, ки ба шумо имкон медиҳад, ки мундариҷаи сеансҳои рамзгузоришудаи HTTPS-ро боздоред, барои бозгардонидани дархостҳои қаллобӣ (аз нав рамзкунонидашуда) HTTPS тавассути серверҳои дигари прокси дар cache_peer нишондодашуда бо истифода аз нақби муқаррарӣ дар асоси усули HTTP CONNECT ( интиқол тавассути HTTPS дастгирӣ намешавад, зеро Squid ҳоло TLS-ро дар дохили TLS интиқол дода наметавонад). SSL-Bump ба шумо имкон медиҳад, ки пас аз гирифтани дархости аввалини боздоштшудаи HTTPS бо сервери ҳадаф пайвасти TLS барқарор кунед ва сертификати онро гиред. Пас аз ин, Squid номи мизбонро аз сертификати воқеии аз сервер гирифташуда истифода мебарад ва шаҳодатномаи мукаммал эҷод мекунад, ки бо он ҳангоми муошират бо муштарӣ ба сервери дархостшуда тақлид мекунад ва ҳангоми идомаи истифодаи пайвасти TLS, ки бо сервери мавриди ҳадаф барои гирифтани маълумот ( то ки ивазкунӣ ба огоҳиҳои баромади браузерҳо дар тарафи муштарӣ оварда нарасонад, шумо бояд сертификати худро, ки барои тавлиди шаҳодатномаҳои қалбакӣ истифода мешавад, ба мағозаи шаҳодатномаи реша илова кунед).
- Директиваҳои mark_client_connection ва mark_client_pack барои пайваст кардани аломатҳои Netfilter (CONNMARK) ба пайвастҳои TCP муштарӣ ё бастаҳои инфиродӣ илова карда шуданд.
Варақаҳои Squid 5.2 ва Squid 4.17 ба табъ расидаанд, ки дар онҳо осебпазириҳо ислоҳ карда шуданд:
- CVE-2021-28116 - Ихроҷи иттилоот ҳангоми коркарди паёмҳои махсуси WCCPv2. Ин осебпазирӣ ба ҳамлагар имкон медиҳад, ки рӯйхати роутерҳои маълуми WCCP-ро вайрон кунад ва трафикро аз мизоҷҳои сервери прокси ба мизбони худ равона кунад. Мушкилот танҳо дар конфигуратсияҳое пайдо мешавад, ки дастгирии WCCPv2 фаъол аст ва вақте имкон дорад, ки суроғаи IP-и роутерро фиреб диҳед.
- CVE-2021-41611 - Масъала дар санҷиши сертификати TLS имкон медиҳад, ки бо истифода аз сертификатҳои нобовар дастрасӣ пайдо кунанд.
Манбаъ: opennet.ru