Üç yıllık geliştirmenin ardından, Squid 5.1 proxy sunucusunun üretim sistemlerinde kullanıma hazır kararlı bir sürümü sunuldu (sürüm 5.0.x, beta sürüm statüsüne sahipti). 5.x şubesini kararlı hale getirdikten sonra artık yalnızca güvenlik açıklarını ve kararlılık sorunlarını giderecek ve küçük optimizasyonlara da izin verilecek. Yeni özelliklerin geliştirilmesi, yeni bir deneysel şube 6.0'da gerçekleştirilecektir. Geçmiş 4.x kararlı şubesinin kullanıcılarına, 5.x şubesine geçmeyi planlamaları önerilir.
Squid 5'in ana yenilikleri:
- Harici içerik inceleme sistemleriyle entegrasyon için kullanılan ICAP protokolünün (İnternet İçeriği Uyarlama Protokolü) uygulanması, mesaj gövdesinden sonra meta verilere sahip ek başlıklar eklemenize izin veren veri ekleme mekanizması (fragman) için destek eklemiştir. yanıtı (örneğin, bir sağlama toplamı ve belirlenen sorunların ayrıntılarını gönderebilirsiniz).
- İstekleri yeniden yönlendirirken, potansiyel olarak mevcut tüm IPv4 ve IPv6 hedef adreslerinin çözümlenmesini beklemeden, alınan IP adresini hemen kullanan "Mutlu Gözler" algoritması kullanılır. Bir IPv4 veya IPv4 adres ailesinin kullanıldığı sırayı belirlemek için "dns_v6_first" ayarına uymak yerine, artık DNS yanıt sırasına uyulmaktadır: bir IP adresinin çözümlenmesini beklerken önce bir AAAA DNS yanıtı gelirse, daha sonra alınan IPv6 adresi kullanılacaktır. Böylece, tercih edilen adres ailesinin ayarlanması artık "--disable-ipv6" seçeneği ile güvenlik duvarı, DNS veya başlangıç seviyesinde yapılıyor. Önerilen değişiklik, TCP bağlantı kurulum süresini hızlandırır ve DNS çözümleme gecikmesinin performans üzerindeki etkisini azaltır.
- "external_acl" yönergesinde kullanılmak üzere, Kerberos kullanan Active Directory'de grup doğrulaması ile kimlik doğrulama için "ext_kerberos_sid_group_acl" işleyicisi eklenmiştir. Grup adını sorgulamak için OpenLDAP paketi tarafından sağlanan ldapsearch yardımcı programını kullanın.
- Lisanslama sorunları nedeniyle Berkeley DB formatı desteği kullanımdan kaldırılmıştır. Berkeley DB 5.x şubesi birkaç yıldır bakımsız durumda ve yama uygulanmamış güvenlik açıklarıyla duruyor ve daha yeni sürümlere geçmek, lisansın gereksinimleri bir kitaplık biçiminde BerkeleyDB kullanan uygulamalar için de geçerli olan AGPLv3 olarak değiştirilmesine izin vermiyor - Squid, GPLv2 kapsamında lisanslanmıştır ve AGPL, GPLv2 ile uyumsuzdur. Berkeley DB yerine proje, Berkeley DB'den farklı olarak veritabanına eş zamanlı paralel erişim için optimize edilmiş olan TrivialDB DBMS'yi kullanmaya başladı. Berkeley DB desteği şimdilik korunmuştur, ancak "ext_session_acl" ve "ext_time_quota_acl" işleyicilerinin artık "libdb" yerine "libtdb" depolama türünü kullanmaları önerilir.
- İçerik dağıtım ağlarını kullanırken döngüleri algılamanıza izin veren RFC 8586'da tanımlanan CDN-Loop HTTP üst bilgisi için destek eklendi (başlık, herhangi bir nedenle CDN'ler arasında yeniden yönlendirme sürecindeki bir isteğin geri döndüğü durumlara karşı koruma sağlar. orijinal CDN, sonsuz bir döngü oluşturur).
- SSL-Bump mekanizmasına, HTTP CONNECT yöntemine dayalı normal bir tünel kullanarak cache_peer'de belirtilen diğer proxy sunucuları aracılığıyla sahte (yeniden şifrelenmiş) HTTPS isteklerini yeniden yönlendirme desteği eklendi; Squid henüz TLS içinde TLS'yi geçemediği için HTTPS üzerinden desteklenmiyor). SSL-Bump, yakalanan ilk HTTPS talebinin alınması üzerine hedef sunucu ile bir TLS bağlantısı kurmayı ve sertifikasını almayı sağlar. Bundan sonra, Squid, sunucudan alınan gerçek sertifikadaki ana bilgisayar adını kullanır ve istemciyle etkileşim kurarken istenen sunucuyu taklit ettiği sahte bir sertifika oluşturur, bu arada veri almak için hedef sunucuyla kurulan TLS bağlantısını kullanmaya devam eder (böylece Değiştirmenin istemci tarafındaki tarayıcılarda çıktı uyarılarına yol açmaması için, sahte sertifikalar oluşturmak için kullanılan sertifikanızı kök sertifika deposuna eklemeniz gerekir).
- Netfilter işaretlerini (CONNMARK) istemci TCP bağlantılarına veya bireysel paketlere bağlamak için mark_client_connection ve mark_client_pack yönergeleri eklendi.
Sıcak takibin ardından, aşağıdaki güvenlik açıklarının giderildiği Squid 5.2 ve Squid 4.17 sürümleri yayınlandı:
- CVE-2021-28116 - WCCPv2 tarafından hazırlanmış mesajlar işlenirken bilgi sızdırıldı. Güvenlik açığı, bir saldırganın bilinen WCCP yönlendiricileri listesini bozmasına ve proxy istemci trafiğini ana bilgisayarlarına yönlendirmesine olanak tanır. Sorun, yalnızca WCCPv2 desteğinin etkinleştirildiği yapılandırmalarda ve yönlendiricinin IP adresini taklit etmenin mümkün olduğu durumlarda ortaya çıkar.
- CVE-2021-41611 - Güvenilmeyen sertifikaların kullanılmasına izin veren TLS sertifikası doğrulama hatası.
Kaynak: opennet.ru