پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > اسکویڈ 5 پراکسی سرور کی مستحکم ریلیز

اسکویڈ 5 پراکسی سرور کی مستحکم ریلیز

تین سال کی ترقی کے بعد، Squid 5.1 پراکسی سرور کی ایک مستحکم ریلیز پیش کی گئی ہے، جو پروڈکشن سسٹمز پر استعمال کے لیے تیار ہے (ریلیز 5.0.x کو بیٹا ورژن کی حیثیت حاصل تھی)۔ 5.x برانچ کو مستحکم حیثیت دینے کے بعد، اب سے اس میں صرف کمزوریوں اور استحکام کے مسائل کو ٹھیک کیا جائے گا، اور معمولی اصلاح کی بھی اجازت ہے۔ نئی خصوصیات کی ترقی نئی تجرباتی شاخ 6.0 میں کی جائے گی۔ پچھلی مستحکم 4.x برانچ کے صارفین کو مشورہ دیا جاتا ہے کہ وہ 5.x برانچ میں منتقل ہونے کا منصوبہ بنائیں۔

Squid 5 میں اہم اختراعات:

  • ICAP (انٹرنیٹ کنٹینٹ اڈاپٹیشن پروٹوکول) کے نفاذ، جو کہ بیرونی مواد کی تصدیق کے نظام کے ساتھ انضمام کے لیے استعمال کیا جاتا ہے، نے ڈیٹا اٹیچمنٹ میکانزم (ٹریلر) کے لیے سپورٹ شامل کیا ہے، جو آپ کو پیغام کے بعد میٹا ڈیٹا کے ساتھ اضافی ہیڈر منسلک کرنے کی اجازت دیتا ہے۔ جسم (مثال کے طور پر، آپ ایک چیکسم اور شناخت شدہ مسائل کے بارے میں تفصیلات بھیج سکتے ہیں)۔
  • درخواستوں کو ری ڈائریکٹ کرتے وقت، "Happy Eyeballs" الگورتھم استعمال کیا جاتا ہے، جو فوری طور پر موصولہ IP ایڈریس کا استعمال کرتا ہے، تمام ممکنہ طور پر دستیاب IPv4 اور IPv6 ٹارگٹ ایڈریسز کے حل ہونے کا انتظار کیے بغیر۔ یہ تعین کرنے کے لیے کہ آیا IPv4 یا IPv4 ایڈریس فیملی استعمال کی گئی ہے، "dns_v6_first" ترتیب کو مدنظر رکھنے کے بجائے، DNS جواب کی ترتیب کو اب مدنظر رکھا جاتا ہے: اگر DNS AAAA جواب پہلے آتا ہے جب کسی IP ایڈریس کے حل ہونے کا انتظار کیا جاتا ہے، پھر نتیجے میں آئی پی وی 6 ایڈریس استعمال کیا جائے گا۔ اس طرح، ترجیحی ایڈریس فیملی سیٹ کرنا اب فائر وال، DNS یا اسٹارٹ اپ لیول پر "--disable-ipv6" آپشن کے ساتھ کیا جاتا ہے۔ مجوزہ تبدیلی ہمیں TCP کنکشن کے سیٹ اپ ٹائم کو تیز کرنے اور DNS ریزولوشن کے دوران تاخیر کے کارکردگی کے اثرات کو کم کرنے کی اجازت دیتی ہے۔
  • "external_acl" ہدایت میں استعمال کے لیے، "ext_kerberos_sid_group_acl" ہینڈلر کو Kerberos کا استعمال کرتے ہوئے ایکٹو ڈائریکٹری میں گروپ چیکنگ کے ساتھ تصدیق کے لیے شامل کیا گیا ہے۔ گروپ کے نام سے استفسار کرنے کے لیے، OpenLDAP پیکج کے ذریعے فراہم کردہ ldapsearch یوٹیلیٹی استعمال کریں۔
  • لائسنس کے مسائل کی وجہ سے برکلے ڈی بی فارمیٹ کے لیے سپورٹ کو فرسودہ کر دیا گیا ہے۔ Berkeley DB 5.x برانچ کو کئی سالوں سے برقرار نہیں رکھا گیا ہے اور اس میں کوئی پیچیدگیاں نہیں ہیں، اور نئی ریلیز میں منتقلی کو AGPLv3 میں لائسنس کی تبدیلی سے روکا جاتا ہے، جس کے تقاضے ان ایپلی کیشنز پر بھی لاگو ہوتے ہیں جو برکلے ڈی بی کو استعمال کرتی ہیں۔ ایک لائبریری - اسکویڈ کو GPLv2 لائسنس کے تحت فراہم کیا جاتا ہے، اور AGPL GPLv2 کے ساتھ مطابقت نہیں رکھتا ہے۔ برکلے ڈی بی کے بجائے، پراجیکٹ کو TrivialDB DBMS کے استعمال میں منتقل کیا گیا تھا، جو کہ Berkeley DB کے برعکس، ڈیٹا بیس تک بیک وقت متوازی رسائی کے لیے موزوں ہے۔ Berkeley DB سپورٹ ابھی کے لیے برقرار ہے، لیکن "ext_session_acl" اور "ext_time_quota_acl" ہینڈلرز اب "libdb" کے بجائے "libtdb" اسٹوریج کی قسم استعمال کرنے کی تجویز کرتے ہیں۔
  • CDN-Loop HTTP ہیڈر کے لیے شامل کردہ تعاون، RFC 8586 میں بیان کیا گیا ہے، جو آپ کو مواد کی ترسیل کے نیٹ ورکس کا استعمال کرتے وقت لوپس کا پتہ لگانے کی اجازت دیتا ہے (ہیڈر ان حالات کے خلاف تحفظ فراہم کرتا ہے جب CDNs کے درمیان کسی وجہ سے ری ڈائریکٹ کرنے کے عمل میں کوئی درخواست واپس آ جاتی ہے۔ اصل CDN، ایک لامتناہی لوپ تشکیل دیتا ہے)۔
  • SSL-Bump میکانزم، جو آپ کو خفیہ کردہ HTTPS سیشنز کے مواد کو روکنے کی اجازت دیتا ہے، نے HTTP CONNECT طریقہ پر مبنی ایک باقاعدہ سرنگ کا استعمال کرتے ہوئے، cache_peer میں متعین دیگر پراکسی سرورز کے ذریعے جعلی (دوبارہ خفیہ کردہ) HTTPS درخواستوں کو ری ڈائریکٹ کرنے کے لیے تعاون شامل کیا ہے۔ HTTPS کے ذریعے ٹرانسمیشن تعاون یافتہ نہیں ہے، کیونکہ Squid ابھی تک TLS کو TLS کے اندر منتقل نہیں کر سکتا)۔ SSL-Bump آپ کو پہلی روکی ہوئی HTTPS درخواست کی وصولی پر ہدف سرور کے ساتھ TLS کنکشن قائم کرنے اور اس کا سرٹیفکیٹ حاصل کرنے کی اجازت دیتا ہے۔ اس کے بعد، سکویڈ سرور سے موصول ہونے والے اصلی سرٹیفکیٹ سے میزبان نام کا استعمال کرتا ہے اور ایک ڈمی سرٹیفکیٹ بناتا ہے، جس کے ساتھ وہ کلائنٹ کے ساتھ بات چیت کرتے وقت درخواست کردہ سرور کی نقل کرتا ہے، جبکہ ڈیٹا حاصل کرنے کے لیے ہدف سرور کے ساتھ قائم کردہ TLS کنکشن کا استعمال جاری رکھتا ہے ( تاکہ متبادل کلائنٹ سائیڈ پر براؤزرز میں آؤٹ پٹ وارننگ نہ لے، آپ کو اپنا سرٹیفکیٹ جو فرضی سرٹیفکیٹ بنانے کے لیے استعمال کیا جاتا ہے اسے روٹ سرٹیفکیٹ اسٹور میں شامل کرنا ہوگا)۔
  • نیٹ فلٹر مارکس (CONNMARK) کو کلائنٹ کے TCP کنکشنز یا انفرادی پیکٹ سے منسلک کرنے کے لیے mark_client_connection اور mark_client_pack ہدایات شامل کی گئیں۔

ان کی ایڑیوں پر گرم، سکویڈ 5.2 اور اسکویڈ 4.17 کی ریلیز شائع ہوئی، جس میں کمزوریاں طے کی گئیں:

  • CVE-2021-28116 - خاص طور پر تیار کردہ WCCPv2 پیغامات پر کارروائی کرتے وقت معلومات کا اخراج۔ کمزوری ایک حملہ آور کو معلوم WCCP راؤٹرز کی فہرست کو خراب کرنے اور پراکسی سرور کلائنٹس سے ٹریفک کو ان کے میزبان کی طرف بھیجنے کی اجازت دیتی ہے۔ مسئلہ صرف WCCPv2 سپورٹ کے ساتھ کنفیگریشنز میں ظاہر ہوتا ہے اور جب روٹر کے IP ایڈریس کو دھوکہ دینا ممکن ہو۔
  • CVE-2021-41611 - TLS سرٹیفکیٹ کی تصدیق میں ایک مسئلہ ناقابل اعتماد سرٹیفکیٹس کا استعمال کرتے ہوئے رسائی کی اجازت دیتا ہے۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں