โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > พร็อกซีเซิร์ฟเวอร์ Squid 5 ที่เสถียร

พร็อกซีเซิร์ฟเวอร์ Squid 5 ที่เสถียร

หลังจากสามปีของการพัฒนา พร็อกซีเซิร์ฟเวอร์ Squid 5.1 รุ่นเสถียรได้ถูกนำเสนอ พร้อมสำหรับการใช้งานบนระบบที่ใช้งานจริง (รุ่น 5.0.x มีสถานะเป็นรุ่นเบต้า) หลังจากที่สาขา 5.x ได้รับสถานะเสถียรแล้ว จากนี้ไปจะมีการแก้ไขเฉพาะจุดอ่อนและปัญหาด้านความเสถียรเท่านั้น และจะอนุญาตให้มีการเพิ่มประสิทธิภาพเล็กน้อยด้วย การพัฒนาคุณสมบัติใหม่จะดำเนินการในสาขาทดลองใหม่ 6.0 แนะนำให้ผู้ใช้สาขา 4.x ที่เสถียรก่อนหน้านี้วางแผนย้ายไปยังสาขา 5.x

นวัตกรรมที่สำคัญใน Squid 5:

  • การดำเนินการ ICAP (Internet Content Adaptation Protocol) ซึ่งใช้สำหรับรวมกับระบบการตรวจสอบเนื้อหาภายนอก ได้เพิ่มการสนับสนุนสำหรับกลไกการแนบข้อมูล (ตัวอย่าง) ซึ่งช่วยให้คุณสามารถแนบส่วนหัวเพิ่มเติมพร้อมข้อมูลเมตากับการตอบกลับซึ่งอยู่หลังข้อความ เนื้อความ (เช่น คุณสามารถส่งผลรวมตรวจสอบและรายละเอียดเกี่ยวกับปัญหาที่ระบุได้)
  • เมื่อเปลี่ยนเส้นทางคำขอ ระบบจะใช้อัลกอริทึม “Happy Eyeballs” ซึ่งใช้ที่อยู่ IP ที่ได้รับทันที โดยไม่ต้องรอให้ที่อยู่เป้าหมาย IPv4 และ IPv6 ที่เป็นไปได้ทั้งหมดได้รับการแก้ไข แทนที่จะใช้การตั้งค่า "dns_v4_first" เพื่อพิจารณาว่ามีการใช้กลุ่มที่อยู่ IPv4 หรือ IPv6 หรือไม่ ลำดับของการตอบสนอง DNS จะถูกนำมาพิจารณาด้วย: หากการตอบสนอง DNS AAAA มาถึงก่อนเมื่อรอให้ที่อยู่ IP แก้ไข จากนั้น ที่อยู่ IPv6 ที่เป็นผลลัพธ์จะถูกนำมาใช้ ดังนั้น การตั้งค่ากลุ่มที่อยู่ที่ต้องการจึงทำได้ที่ไฟร์วอลล์, DNS หรือระดับเริ่มต้นระบบด้วยตัวเลือก “--disable-ipv6” การเปลี่ยนแปลงที่เสนอช่วยให้เราเร่งความเร็วเวลาการตั้งค่าการเชื่อมต่อ TCP และลดผลกระทบด้านประสิทธิภาพจากความล่าช้าระหว่างการแก้ไข DNS
  • สำหรับการใช้งานในคำสั่ง "external_acl" ตัวจัดการ "ext_kerberos_sid_group_acl" ได้ถูกเพิ่มสำหรับการตรวจสอบสิทธิ์ด้วยการตรวจสอบกลุ่มใน Active Directory โดยใช้ Kerberos หากต้องการค้นหาชื่อกลุ่ม ให้ใช้ยูทิลิตี ldapsearch ที่ได้รับจากแพ็กเกจ OpenLDAP
  • การสนับสนุนรูปแบบ Berkeley DB เลิกใช้แล้วเนื่องจากปัญหาด้านลิขสิทธิ์ สาขา Berkeley DB 5.x ไม่ได้รับการบำรุงรักษามาหลายปีแล้วและยังคงมีช่องโหว่ที่ยังไม่ได้รับการแก้ไข และการเปลี่ยนไปใช้รุ่นที่ใหม่กว่านั้นถูกป้องกันโดยการเปลี่ยนใบอนุญาตเป็น AGPLv3 ข้อกำหนดดังกล่าวยังใช้กับแอปพลิเคชันที่ใช้ BerkeleyDB ในรูปแบบของ ห้องสมุด - Squid จัดทำภายใต้ใบอนุญาต GPLv2 และ AGPL เข้ากันไม่ได้กับ GPLv2 แทนที่จะเป็น Berkeley DB โปรเจ็กต์ถูกถ่ายโอนไปยังการใช้ TrivialDB DBMS ซึ่งแตกต่างจาก Berkeley DB ตรงที่ได้รับการปรับให้เหมาะสมสำหรับการเข้าถึงฐานข้อมูลแบบขนานพร้อมกัน ขณะนี้การสนับสนุน Berkeley DB ยังคงอยู่ แต่ตัวจัดการ "ext_session_acl" และ "ext_time_quota_acl" แนะนำให้ใช้ประเภทพื้นที่เก็บข้อมูล "libtdb" แทน "libdb"
  • เพิ่มการรองรับสำหรับส่วนหัว CDN-Loop HTTP ที่กำหนดใน RFC 8586 ซึ่งช่วยให้คุณตรวจจับลูปเมื่อใช้เครือข่ายการจัดส่งเนื้อหา (ส่วนหัวให้การป้องกันสถานการณ์เมื่อคำขอในกระบวนการเปลี่ยนเส้นทางระหว่าง CDN ด้วยเหตุผลบางประการส่งคืนกลับไปที่ CDN ดั้งเดิม ก่อตัวเป็นวงวนไม่สิ้นสุด )
  • กลไก SSL-Bump ซึ่งช่วยให้คุณสามารถสกัดกั้นเนื้อหาของเซสชัน HTTPS ที่เข้ารหัส ได้เพิ่มการสนับสนุนสำหรับการเปลี่ยนเส้นทางคำขอ HTTPS ที่ปลอมแปลง (เข้ารหัสใหม่) ผ่านพร็อกซีเซิร์ฟเวอร์อื่น ๆ ที่ระบุใน cache_peer โดยใช้ช่องสัญญาณปกติตามวิธี HTTP CONNECT ( ไม่รองรับการส่งผ่าน HTTPS เนื่องจาก Squid ยังไม่สามารถส่ง TLS ภายใน TLS ได้) SSL-Bump ช่วยให้คุณสร้างการเชื่อมต่อ TLS กับเซิร์ฟเวอร์เป้าหมายเมื่อได้รับคำขอ HTTPS ที่ถูกดักครั้งแรกและได้รับใบรับรอง หลังจากนี้ Squid จะใช้ชื่อโฮสต์จากใบรับรองจริงที่ได้รับจากเซิร์ฟเวอร์ และสร้างใบรับรองจำลอง ซึ่งจะเลียนแบบเซิร์ฟเวอร์ที่ร้องขอเมื่อโต้ตอบกับไคลเอนต์ ในขณะที่ยังคงใช้การเชื่อมต่อ TLS ที่สร้างขึ้นกับเซิร์ฟเวอร์เป้าหมายเพื่อรับข้อมูล ( เพื่อให้การทดแทนไม่นำไปสู่คำเตือนเอาต์พุตในเบราว์เซอร์บนฝั่งไคลเอ็นต์ คุณต้องเพิ่มใบรับรองของคุณที่ใช้ในการสร้างใบรับรองสมมติไปยังที่เก็บใบรับรองหลัก)
  • เพิ่มคำสั่ง mark_client_connection และ mark_client_pack เพื่อผูกเครื่องหมาย Netfilter (CONNMARK) กับการเชื่อมต่อ TCP ของไคลเอ็นต์หรือแต่ละแพ็กเก็ต

การเปิดตัว Squid 5.2 และ Squid 4.17 ได้รับความนิยมอย่างล้นหลาม ซึ่งช่องโหว่ได้รับการแก้ไขแล้ว:

  • CVE-2021-28116 - ข้อมูลรั่วไหลเมื่อประมวลผลข้อความ WCCPv2 ที่จัดทำขึ้นเป็นพิเศษ ช่องโหว่นี้ทำให้ผู้โจมตีสร้างความเสียหายให้กับรายการเราเตอร์ WCCP ที่รู้จัก และเปลี่ยนเส้นทางการรับส่งข้อมูลจากไคลเอนต์พร็อกซีเซิร์ฟเวอร์ไปยังโฮสต์ของพวกเขา ปัญหาจะปรากฏเฉพาะในการกำหนดค่าที่เปิดใช้งานการรองรับ WCCPv2 และเมื่อเป็นไปได้ที่จะปลอมแปลงที่อยู่ IP ของเราเตอร์
  • CVE-2021-41611 - ปัญหาในการตรวจสอบใบรับรอง TLS ทำให้เข้าถึงได้โดยใช้ใบรับรองที่ไม่น่าเชื่อถือ

ที่มา: opennet.ru

เพิ่มความคิดเห็น