Re: Squid-Version

From: Thomas-Martin Seck <tmseck-lists(at)netcologne.de>
Date: Mon, 4 Feb 2013 11:50:33 +0100

* Peter Ross (Peter.Ross(at)alumni.tu-berlin.de):

> Hallo,
>
> ich verwende squid, und www/squid ist im Moment auf Version 2.7.9_3
>
> Checking for packages with security vulnerabilities:
> squid-2.7.9_3 is vulnerable:
> squid -- denial of service
> http://portaudit.FreeBSD.org/c37de843-488e-11e2-a5c9-0019996bc1f7.html
>
> Affects:
>
> squid <3.1.23
> squid >=3.2 <3.2.6
> squid >=3.3 <3.3.0.3
>
> Für www/squid (2.7) scheint kein Update zu existieren, auch bei
> www.squid-cache.org nicht.

Das Ports-Security-Team hat einen Patch, der hängt allerdings noch in
der Review-Schleife bei dem (ehemaligen) 2.x-Chefentwickler. Wenn man
cachemgr.cgi nicht braucht oder lokal per ACL einschränken kann, kein
ganz großes Problem.

> Nun gibt es www/squid31 und www/squid32, und squid 3.2 wird bei
> squid-cache.org als der derzeitige STABLE-Zweig bezeichnet.
>
> Umstellen auf www/squid32?
>
> Andererseits steht in den TODOs noch was davon, daß in den 3er Versionen
> noch "feature regressions" von 2.7 zu reimplimentieren sind (ein Link zu
> der Liste, welche das sind, geht leider ins 404-Leere)
>
> Ich vermute, diese Regressionen sind der Grund, warum www/squid immer noch
> bei 2.7 hängt..

In FreeBSD: eher das historische Problem, dass man nicht von Anfang an
www/squidXY hatte. Ich werde in nächster Zeit www/squid in www/squid27
umbenennen (ist in svn ja jetzt viel einfacher als mit CVS) und die
Ports mit einer Abhängigkeit auf www/squid entsprechend anpassen. Danach
überlasse ich's den Maintainern der einzelnen Ports, die Squid
verwenden, ob sie die Abhängigkeit entsprechend anpassen wollen.
 
> Ich bin ziemlicher "Standardnutzer", ohne Proxy-Nachbarn oder ähnliches,
> squid.conf mit ein paar ACLs und Regeln darüber. Wahrscheinlich betreffen
> mich diese Regressionen nicht?
>
> Eine Erklärung, was beim Upgrade zu beachten ist, habe ich leider auch
> nicht gefunden (Änderungen in der squid.conf?)

Guck mal in
http://www.squid-cache.org/Versions/v3/3.2/RELEASENOTES.html, ggfls.
zusammen mit
http://www.squid-cache.org/Versions/v3/3.1/RELEASENOTES.html

Versuch's mit 3.2. Wenn irgendwas überhaupt nicht klappt, haben wir bis
auf weiteres noch 2.7 in den Ports. Melde Probleme an die
Squid-Users-Mailingliste bzw. das Squid Bugzilla.

Viele Grüße,

-- 
Thomas-Martin Seck
Squid-Maintainer
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 04 Feb 2013 - 11:50:42 CET

search this site