ProHoster > Блог > ayelujara iroyin > Itusilẹ iduroṣinṣin ti olupin aṣoju Squid 5

Itusilẹ iduroṣinṣin ti olupin aṣoju Squid 5

Lẹhin ọdun mẹta ti idagbasoke, itusilẹ iduroṣinṣin ti olupin aṣoju Squid 5.1 ti gbekalẹ, ṣetan fun lilo lori awọn eto iṣelọpọ (awọn idasilẹ 5.0.x ni ipo awọn ẹya beta). Lẹhin ti ẹka 5.x ti fun ni ipo iduroṣinṣin, lati isisiyi lọ nikan awọn atunṣe fun awọn ailagbara ati awọn iṣoro iduroṣinṣin yoo ṣee ṣe ninu rẹ, ati awọn iṣapeye kekere tun gba laaye. Idagbasoke ti awọn ẹya tuntun yoo ṣee ṣe ni ẹka idanwo tuntun 6.0. Awọn olumulo ti ẹka 4.x iduroṣinṣin ti tẹlẹ ni imọran lati gbero lati jade lọ si ẹka 5.x.

Awọn imotuntun pataki ni Squid 5:

  • Imuse ti ICAP (Ilana Adaparọ Akoonu Intanẹẹti), ti a lo fun iṣọpọ pẹlu awọn ọna ṣiṣe idaniloju akoonu ita, ti ṣafikun atilẹyin fun ẹrọ asomọ data kan (trailer), eyiti o fun ọ laaye lati so awọn akọle afikun pẹlu metadata si idahun, ti a gbe lẹhin ifiranṣẹ naa. ara (fun apẹẹrẹ, o le fi kan checksum ati awọn alaye nipa awọn isoro mọ).
  • Nigbati o ba n ṣe atunṣe awọn ibeere, “Ayọ Eyeballs” algorithm ti lo, eyiti o lo adiresi IP ti o gba lẹsẹkẹsẹ, laisi iduro fun gbogbo awọn adirẹsi ibi-afẹde IPv4 ti o wa ati IPv6 lati yanju. Dipo lilo eto “dns_v4_first” lati pinnu boya IPv4 tabi idile adirẹsi IPv6 ti lo, aṣẹ ti idahun DNS ni a ṣe sinu akọọlẹ: ti idahun AAAA DNS ba de ni akọkọ nigbati o nduro fun adiresi IP lati yanju, lẹhinna Abajade adiresi IPv6 yoo ṣee lo. Nitorinaa, ṣeto idile adirẹsi ti o fẹ jẹ bayi ni ogiriina, DNS tabi ipele ibẹrẹ pẹlu aṣayan “--disable-ipv6”. Iyipada ti a dabaa gba wa laaye lati ṣe iyara akoko iṣeto ti awọn asopọ TCP ati dinku ipa iṣẹ ti awọn idaduro lakoko ipinnu DNS.
  • Fun lilo ninu itọsọna “external_acl”, oluṣakoso “ext_kerberos_sid_group_acl” ni a ti ṣafikun fun ijẹrisi pẹlu iṣayẹwo ẹgbẹ ni Active Directory nipa lilo Kerberos. Lati beere orukọ ẹgbẹ naa, lo ohun elo ldapsearch ti a pese nipasẹ akojọpọ OpenLDAP.
  • Atilẹyin fun ọna kika Berkeley DB ti jẹ idinku nitori awọn ọran iwe-aṣẹ. Ẹka Berkeley DB 5.x ko ti ni itọju fun awọn ọdun pupọ ati pe o wa pẹlu awọn ailagbara ti ko ni aabo, ati iyipada si awọn idasilẹ tuntun ni idaabobo nipasẹ iyipada iwe-aṣẹ si AGPLv3, awọn ibeere eyiti o tun kan si awọn ohun elo ti o lo BerkeleyDB ni irisi ile-ikawe - Squid ti pese labẹ iwe-aṣẹ GPLv2, ati pe AGPL ko ni ibamu pẹlu GPLv2. Dipo Berkeley DB, a gbe iṣẹ naa lọ si lilo TrivialDB DBMS, eyiti, ko dabi Berkeley DB, jẹ iṣapeye fun iraye si afiwera si ibi ipamọ data. Atilẹyin Berkeley DB wa ni idaduro fun bayi, ṣugbọn “ext_session_acl” ati “ext_time_quota_acl” awọn olutọju ni bayi ṣeduro lilo iru ibi ipamọ “libtdb” dipo “libdb”.
  • Atilẹyin ti a ṣafikun fun akọsori HTTP CDN-Loop, ti ṣalaye ni RFC 8586, eyiti o fun ọ laaye lati wa awọn losiwajulosehin nigba lilo awọn nẹtiwọọki ifijiṣẹ akoonu (akọsori naa pese aabo lodi si awọn ipo nigbati ibeere kan ninu ilana ti awọn atunṣe laarin CDNs fun idi kan pada si CDN atilẹba, ti o ṣẹda lupu ailopin).
  • Ilana SSL-Bump, eyiti o fun ọ laaye lati ṣe idilọwọ awọn akoonu ti awọn akoko HTTPS ti paroko, ti ṣafikun atilẹyin fun ṣiṣatunṣe awọn ibeere HTTPS ti a ti sọ di mimọ (tun-ti paroko) nipasẹ awọn olupin aṣoju miiran ti a ṣalaye ni cache_peer, ni lilo eefin deede ti o da lori ọna HTTP CONNECT ( gbigbe nipasẹ HTTPS ko ni atilẹyin, nitori Squid ko le gbe TLS laarin TLS). SSL-Bump ngbanilaaye lati fi idi asopọ TLS kan mulẹ pẹlu olupin ibi-afẹde nigbati o ba gba ibeere HTTPS akọkọ ti o gba wọle ati gba ijẹrisi rẹ. Lẹhin eyi, Squid lo orukọ olupin lati ijẹrisi gidi ti o gba lati ọdọ olupin ati ṣẹda iwe-ẹri apanirun, pẹlu eyiti o ṣe apẹẹrẹ olupin ti o beere nigbati o ba n ba alabara pọ si, lakoko ti o tẹsiwaju lati lo asopọ TLS ti iṣeto pẹlu olupin ibi-afẹde lati gba data ( ki fidipo ko ni ja si awọn ikilo o wu ni awọn aṣawakiri lori awọn ose ẹgbẹ, o nilo lati fi rẹ ijẹrisi lo lati se ina fictitious awọn iwe-ẹri si awọn root ijẹrisi itaja).
  • Fikun mark_client_connection ati mark_client_pack awọn itọsọna lati di awọn ami Netfilter (CONNMARK) si awọn asopọ TCP alabara tabi awọn apo-iwe kọọkan.

Gbona lori igigirisẹ wọn, awọn idasilẹ ti Squid 5.2 ati Squid 4.17 ni a tẹjade, ninu eyiti a ti ṣeto awọn ailagbara:

  • CVE-2021-28116 - Jijo alaye nigba ṣiṣe awọn ifiranṣẹ WCCPv2 ti a ṣe ni pataki. Ailagbara naa ngbanilaaye ikọlu kan lati ba atokọ ti awọn onimọ-ọna WCCP ti a mọ jẹ ki o darí ijabọ lati ọdọ awọn alabara olupin aṣoju si agbalejo wọn. Iṣoro naa han nikan ni awọn atunto pẹlu atilẹyin WCCPv2 ṣiṣẹ ati nigbati o ṣee ṣe lati sọ adiresi IP olulana naa.
  • CVE-2021-41611 - Ọrọ kan ninu ijẹrisi ijẹrisi TLS ngbanilaaye iwọle nipa lilo awọn iwe-ẹri ti ko gbẹkẹle.

orisun: opennet.ru

Fi ọrọìwòye kun