ProHoster > Blog > internet yangiliklari > Squid 5 proksi-serverining barqaror chiqarilishi

Squid 5 proksi-serverining barqaror chiqarilishi

Uch yillik rivojlanishdan so'ng ishlab chiqarish tizimlarida foydalanishga tayyor Squid 5.1 proksi-serverining barqaror versiyasi taqdim etildi (relizlar 5.0.x beta versiyalari maqomiga ega edi). 5.x filialiga barqaror maqom berilgandan so'ng, bundan buyon faqat zaifliklar va barqarorlik muammolari uchun tuzatishlar amalga oshiriladi va kichik optimallashtirishlarga ham ruxsat beriladi. Yangi xususiyatlarni ishlab chiqish yangi eksperimental 6.0 filialida amalga oshiriladi. Oldingi barqaror 4.x filiali foydalanuvchilariga 5.x filialiga o'tishni rejalashtirish tavsiya etiladi.

Squid 5-dagi asosiy yangiliklar:

  • Tashqi kontentni tekshirish tizimlari bilan integratsiya qilish uchun foydalaniladigan ICAP (Internet Content Adaptation Protocol) ning amalga oshirilishi xabardan keyin joylashtirilgan javobga metamaʼlumotlar bilan qoʻshimcha sarlavhalarni biriktirish imkonini beruvchi maʼlumotlarni biriktirish mexanizmini (treyler) qoʻllab-quvvatladi. tanasi (masalan, nazorat summasini va aniqlangan muammolar haqida ma'lumotlarni yuborishingiz mumkin).
  • So'rovlarni qayta yo'naltirishda "Happy Eyeballs" algoritmi qo'llaniladi, u barcha potentsial mavjud bo'lgan IPv4 va IPv6 maqsadli manzillarning hal etilishini kutmasdan darhol qabul qilingan IP-manzildan foydalanadi. IPv4 yoki IPv4 manzillar oilasidan foydalanilganligini aniqlash uchun "dns_v6_first" sozlamasidan foydalanish o'rniga, endi DNS javobining tartibi hisobga olinadi: agar DNS AAAA javobi birinchi bo'lib IP manzili hal qilinishini kutayotganda kelsa, keyin natijada olingan IPv6 manzilidan foydalaniladi. Shunday qilib, afzal qilingan manzillar oilasini sozlash endi xavfsizlik devori, DNS yoki ishga tushirish darajasida “--disable-ipv6” opsiyasi bilan amalga oshiriladi. Taklif etilayotgan o'zgarish bizga TCP ulanishlarini sozlash vaqtini tezlashtirish va DNS rezolyutsiyasi vaqtida kechikishlarning ishlash ta'sirini kamaytirish imkonini beradi.
  • "external_acl" direktivasida foydalanish uchun "ext_kerberos_sid_group_acl" ishlov beruvchisi Kerberos yordamida Active Directoryda guruh tekshiruvi bilan autentifikatsiya qilish uchun qo'shilgan. Guruh nomini so'rash uchun OpenLDAP paketi tomonidan taqdim etilgan ldapsearch yordam dasturidan foydalaning.
  • Berkeley DB formatini qo'llab-quvvatlash litsenziyalash muammolari tufayli bekor qilindi. Berkeley DB 5.x filiali bir necha yillardan beri xizmat ko'rsatmadi va yangilanmagan zaifliklar bilan qolmoqda va yangi versiyalarga o'tish litsenziyani AGPLv3 ga o'zgartirish orqali oldini oladi, uning talablari BerkeleyDB ko'rinishida foydalanadigan ilovalarga ham tegishli. kutubxona - Squid GPLv2 litsenziyasi ostida taqdim etiladi va AGPL GPLv2 bilan mos kelmaydi. Berkeley DB o'rniga loyiha TrivialDB DBMS dan foydalanishga o'tkazildi, u Berkeley DB dan farqli o'laroq, ma'lumotlar bazasiga bir vaqtning o'zida parallel kirish uchun optimallashtirilgan. Berkeley maʼlumotlar bazasini qoʻllab-quvvatlash hozircha saqlanib qolgan, ammo “ext_session_acl” va “ext_time_quota_acl” ishlov beruvchilari endi “libdb” oʻrniga “libtdb” saqlash turidan foydalanishni tavsiya qiladi.
  • RFC 8586 da aniqlangan CDN-Loop HTTP sarlavhasi uchun qo'shimcha qo'llab-quvvatlash, kontentni etkazib berish tarmoqlaridan foydalanishda tsikllarni aniqlashga imkon beradi (sarlavha CDN-lar o'rtasida qayta yo'naltirish jarayonida biron-bir sababga ko'ra so'rov qaytib kelgan vaziyatlardan himoya qiladi. original CDN, cheksiz halqa hosil qiladi).
  • Shifrlangan HTTPS seanslarining mazmunini ushlab turish imkonini beruvchi SSL-Bump mexanizmi HTTP CONNECT usuliga asoslangan oddiy tunnel yordamida cache_peer-da ko'rsatilgan boshqa proksi-serverlar orqali soxta (qayta shifrlangan) HTTPS so'rovlarini qayta yo'naltirishni qo'llab-quvvatladi. HTTPS orqali uzatish qo'llab-quvvatlanmaydi, chunki Squid hali TLS ichida TLSni tashiy olmaydi). SSL-Bump birinchi tutib olingan HTTPS so'rovini olgandan so'ng maqsadli server bilan TLS ulanishini o'rnatish va uning sertifikatini olish imkonini beradi. Shundan so'ng, Squid serverdan olingan haqiqiy sertifikatdan xost nomidan foydalanadi va ma'lumot olish uchun maqsadli server bilan o'rnatilgan TLS ulanishidan foydalanishda davom etgan holda mijoz bilan o'zaro aloqada bo'lganida so'ralgan serverga taqlid qiladigan soxta sertifikat yaratadi ( almashtirish mijoz tomonidagi brauzerlarda chiqish ogohlantirishlariga olib kelmasligi uchun siz soxta sertifikatlarni yaratish uchun ishlatiladigan sertifikatni ildiz sertifikatlari do'koniga qo'shishingiz kerak).
  • Netfilter belgilarini (CONNMARK) mijoz TCP ulanishlari yoki alohida paketlarga ulash uchun mark_client_connection va mark_client_pack direktivalari qo'shildi.

Squid 5.2 va Squid 4.17 versiyalari e'lon qilindi, ularda zaifliklar tuzatildi:

  • CVE-2021-28116 - Maxsus tayyorlangan WCCPv2 xabarlarini qayta ishlashda ma'lumotlarning sizib chiqishi. Zaiflik tajovuzkorga ma'lum WCCP routerlari ro'yxatini buzish va proksi-server mijozlaridan trafikni ularning xostiga yo'naltirish imkonini beradi. Muammo faqat WCCPv2 qo'llab-quvvatlashi yoqilgan konfiguratsiyalarda va yo'riqnoma IP-manzilini aldash mumkin bo'lganda paydo bo'ladi.
  • CVE-2021-41611 - TLS sertifikatini tekshirishdagi muammo ishonchsiz sertifikatlardan foydalanishga ruxsat beradi.

Manba: opennet.ru

a Izoh qo'shish