WTF?
https://www.theregister.com/2023/10/13/squid_proxy_bugs_remain_unfixed
- 1268 megtekintés
Hozzászólások
5.0.5 volt auditálva és 6.4 az az utolsó verzió....
- A hozzászóláshoz be kell jelentkezni
Ebben mi a meglepő? Az IT termékek tele vannak bugokkal. Javítják őket best-effort vagy risk analysis alapon.
Továbbá a Squid open source tudtommal. Bármikor patchelheti bárki, akinek van rá ideje, energiája.
Mellesleg 6.5 az utolsó stable verzió - 2023. nov. 6-án jött ki. Ha valaki régebbi RHEL-t használ, régebbi Squiddal. RH adott ki patcheket 5.5-höz (lásd: https://access.redhat.com/errata/RHSA-2023:6266). Nem néztem végig az összes felsorolt CVE-t, lehet köztük olyan, amit még tényleg nem javítottak ki.
Hogy konkrét is legyek pár CVE-nél:
- CVE-2023-46847 (https://bugzilla.redhat.com/show_bug.cgi?id=2245910): 6.4-ben fixálták.
- CVE-2023-46847 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46847): 6.4-ben fixálták.
- CVE-2023-46848 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46848): 6.4-ben fixálták.
- A hozzászóláshoz be kell jelentkezni
Mellesleg ha valakinek komolyabb szintű biztonságra van szüksége, akkor ott van például a CC EAL minősítés. Használjon olyan szoftvert, ami eléri a CC EAL 4-5 szintet. Megjegyzem, hogy a jelenlegi RHEL 9 NEM rendelkezik CC EAL minősítéssel. PP compliant megszerzése is csak folyamatban van 9.0-ra. Ami szerintem piszkosul ciki.
Link az érdeklődőknek: https://access.redhat.com/articles/2918071
Részt vettem CC EAL 2 minősítés megszerzésében egy projektben egy adott termékre. Nem volt egyszerű, holott a cég és a fejlesztők már régóta készültek rá.
Állítom, hogy a legtöbb projekt, legtöbb cég számára még egy ilyen belépő szintű tanúsítás megszerzése is "lehetetlen kihívást" jelent.
- A hozzászóláshoz be kell jelentkezni
Amúgy van valami alternativa enterprise környezetben a Squid-ra?
Miután a Microsoft valami érthetetlen okból kifolyólag kivégezte a Frontfront-ot, csak Squid-ot láttam.
- A hozzászóláshoz be kell jelentkezni
Hát ami 1-1 ekvivalens tudásban Squiddal, olyanról én nem tudok. MS vonalon meg abszolút nem, mióta nincs ISA / TMG / Forefront és társai.
Amiről hallottam, de nem próbáltam még ki: Apache Traffic Server (https://trafficserver.apache.org/). Ha sok időm lesz egyszer, akkor kipróbálom.
- A hozzászóláshoz be kell jelentkezni
Amúgy van valami alternativa enterprise környezetben a Squid-ra
:)
az legtöbb 'enterspájz megoldás' alatt squid van, a különbség leginkább hogy ki mennyire akarja ezt a tényt elrejteni az ügyfelei elől. :)
- A hozzászóláshoz be kell jelentkezni
Bluecoat
- A hozzászóláshoz be kell jelentkezni
AFAIK a Blue Coat egy rebrandelt squid.
- A hozzászóláshoz be kell jelentkezni
Link? Mikor utoljára láttam, az appliance imageből kellett volna valami configot kiműteni, és abban turkálva az látszódott, hogy még az OS is saját volt alatta. Egészen meglepődtem, azt hittem rosszul látok, de találtam a neten mindenféle elemzést meg előadást is amik megerősítették (tehát nem, nem linux, és ezek a marhák még saját fs-t is írtak hozzá).
- A hozzászóláshoz be kell jelentkezni
Az úgy van, hogy a Squid megvehető Cisco, SonicWall, Sophos felirattal és dobozban is. Talán azok egy picit jobbak lehetnek vagy van rajtuk némi patkolás.
- A hozzászóláshoz be kell jelentkezni
Én mindent értek. Az Openssl ugyanez volt pepitában annó. Ahogy kiderült a Heartbleed bug után hogy egy rakás trágya az egész kódbázis érdekes módon mindjárt lett refaktoring meg céges invesztálás az Openssl-be, mivel kb megkerülhetetlen volt a library.
Elég komoly felhasználói bázisa van a Squid proxy-nak is és rengeteg enterprise termékbe van beépítve. Szóval pl a Cisco (Cisco WSA pl) is megerőltethette volna magát vagy donációval vagy javításokkal.
Ahogy 2 év!? után nyilvános lett a bug lista elkezdték javítani a 6.4->6.5 commitok erről szólnak kb.
https://github.com/squid-cache/squid/commits/v6
Persze páran már elkezdték "túlreagálni" a dolgot, pl a PfSense-ből el akarják távolítani.
https://www.netgate.com/blog/deprecation-of-squid-add-on-package-for-pf…
- A hozzászóláshoz be kell jelentkezni
Szerintem nagyon messzire vezet az alap probléma: Rengeteg cég (igen, Cisco is) beépít rengeteg open source, 3rd party komponenst a termékeikbe. Aztán ha ezekben a külső komponensekben találnak valami CVE-t, akkor a cég 3 dolgot tehet: nem foglalkozik vele (lásd például: consumer routerek gyártói) vagy rákényszeríti az ügyfeleit az újabb termékvonalra vagy frissíti a saját termékét, új release-t ad ki. Ez utóbbit csak akkor lépi meg, ha ez megéri neki. Magyarul pénze van belőle.
PfSense túlreagálásáról: Nem biztos, hogy annyira túlreagálják. Szerintem. Csak próbálják nyomás alatt tartani a többi gyártót security szempontból. Mert ami jelenleg van az IT-ben security szempontból, az egy szemétdomb. Szerény véleményem szerint.
- A hozzászóláshoz be kell jelentkezni
azert ezt korrekten csak ugy tudjak kivitelezni, ha valami alternativat raknak bele a Squid helyett, mert az, hogy kivagjak belole az egyetlen csomagot ami forward proxy -kent tud mukodni es nem kap mast helyette, az enyhen szolva is inkorrekt, foleg a fizetos ugyfelekkel szemben.
FBK
- A hozzászóláshoz be kell jelentkezni
Konkrétan van olyan másik open source forward proxy megoldás ami tud basic auth/negotiate/ntlm/kerberos proxy authentikációt , ldap authorizációt , cachelést, ICAP-ot és SSL bump-ot?
Én kerestem,de nem találtam.
Egyébként alapvetően az user auth ami a killer fícsör szerintem.
Semmilyen open source tűzfal megoldást nem látok ami tudna user identity alapú policy enforcement-et akár proxy/vagy nem proxy/agent alapú megoldással. Vannak , vagy inkább voltak ezekre kisebb nagyobb hackek (authpf pl),de komplett megoldással én még nem találkoztam.
Most abba ne menjünk bele hogy az enterprise megoldások is leginkább orbitális hackelések :)
Pl.: Palo Alto User-ID vagy Cisco PxGrid
Ha valaki tud ilyet ne tartsa magában.
- A hozzászóláshoz be kell jelentkezni
mint ahogy itt sokan irtak a Squid szamos appliance -ben implementalasra kerult, maximum nagyon rejtve van...az, hogy a Netgate egyszercsak gondol egyet es kihajitja nem biztos, hogy megterulo dontes.
FBK
- A hozzászóláshoz be kell jelentkezni
"Elég komoly felhasználói bázisa van a Squid proxy-nak"
Volt, 10-15-20 éve. Legalább 10 éve egyszerűen nem éri meg proxizni, cachelni, mert:
- olyan netsebességek vannak, hogy semmi értelme
- ha több felhasználó esik rá (márpedig nyilván akkor van értelme, mert 1 userre a böngésző cache is tökéletes) az lesz a szük keresztmetszet cpu, hálózat, diszk vagy valami miatt
- minden https-en megy, azt nem lehet transzparensen proxyzni; állítgatással 10 helyen meg senki nem fog bíbelődni
- rengeteg idióta site tolja a max-age: 0 és hasonló dolgokat, ami miatt megint értelmét veszti
Ezzel nem azt mondom hogy "mentség" a problémára, csak hogy én se használom már régóta, és nem is emlékszek mikor láttam utoljára bárhol is.
"Sose a gép a hülye."
- A hozzászóláshoz be kell jelentkezni
Az ugye megvan, hogy a forward proxy-t nem ezen feature-k miatt használják manapság is? Hanem például szűrik, hogy miket érhetnek el a szerverek a neten. Illetve így egyszerűen naplózható a http / https forgalom.
- A hozzászóláshoz be kell jelentkezni
Forward proxynak tökéletes az apache vagy nginx is, sőt még jobb is.
"Sose a gép a hülye."
- A hozzászóláshoz be kell jelentkezni
Reverse proxyt csináltam már Apache, Nginx, HAProxy alapokon. Tudom, hogy Apache képes (majdnem mindenre is), de eszembe nem jutna forward proxyként használni. Tudom, bennem van a hiba. ;)
- A hozzászóláshoz be kell jelentkezni
Plz elaborate
- A hozzászóláshoz be kell jelentkezni
Proxy nem csak cache-re jó. Autentikáció, tartalomszűrés, víruskeresés (tudom, https, de ez is megugorható céges környezetben).
- A hozzászóláshoz be kell jelentkezni