Bootstrapped

Author: Matthias Pitzl <silamael@coronamundi.de>
Bug 2967: raw-IPv6 address URL with append_domain broken

Author: Sean Critica <sean.critica@gmail.com>
Bug 2903: does not send X-Client-Ip in ICAP respmod

SourceFormat Enforcement

Bug #2692: deny_info URL redirect data not properly URL encoded

The logics for determining if data inserted into deny_info redirection
URLs was a bit upside down, never actualy encoding anything.

Cleanup basic auth MSNT helper files

Manuals updates

Update the public address reference for myself

Maintenance: bit more debug on snapshots

SourceFormat Enforcement

off-by-one error when comparing SNMP OIDs when building the mib tree

free memory corruption introduced by the polishing of the SNMP tree generator.

Kill unused variables

Restart DNS retransmission count when restarting the query as an A lookup

Bug 2950: HTTP responses with no Date, Last-modified or expired can
now be cached (given an appropriate refresh_pattern). Previously we
were not caching them in case of an infinite loop in cache farms:
however Squid adds Date: headers now which remove that concern.

Maintenance: Formater skip libltdl dirs

Bootstrapped

Maintenance: snapshot detect package name and version better.

The old patterns are no longer unique. Were setting the snapshot package
and version variables wrong.
Detect and use the formal PACKAGE_FOO=FOO settings instead now.

Author: Tsantilas Christos <chtsanti@users.sourceforge.net> , Alex Rousskov <rousskov@measurement-factory.com>
Support ICAP 206 Partial Content extension

The ICAP 206 Partial Content extension allows the ICAP agents to optionally
combine adapted and original HTTP message content.
For more information about ICAP Partial Content extension look at the
draft from the ICAP forum:

http://www.icap-forum.org/documents/specification/draft-icap-ext-partial-content-07.txt

The new configuration option "icap_206_enable" added to enable/disable
the 206 feature.

This is a Measurement Factory project.

Remove missed configure.in entry for no_check helper

Really delete ntlm_auth/no_check helper

Drop no_check.pl NTLM helper

It was a near duplicate of ntlm_fake_auth. But with some additional
cons:
 * predictable challenge nonce (BAD)
 * less configurable
 * required run-time perl infrastructure.

The original perl code is kept as ntlm_fake_auth.pl.in for now but does
not get built and installed.

Maintenance: add some debug trace to HEAD snapshots

Restrict limited select() I/O loop below FD_SETSIZE.

Henrik informs that loosp using fd_set() (select and win32-select) must
be kept below FD_SETSIZE or they can hang Squid or cause out-of-bounds
memory errors.

NP: Squid-2 does not appear to limit select() like this. May need fixing too.

Revert libntlmauth .h dependency changes.

catch-22:
 * without these ntlm helpers dont pick up libntlmauth API changes in .h

 * with these libntlmauth fails make dist with file overwrite Permission errors.

Caused by the automated natiure of include/*.h dist bundling. This will be
properly resolved when libntlmauth can be broken out of lib/ and include/

SourceFormat Enforcement

Updated release notes

Upgrade ntlm_fake_auth helper and internal libntlmauth

Fake auth helper changes:

 - renames fakeauth to ntlm_fake_auth
 - links ntlm_fake_auth to libntlmauth
 - removes duplicate code provided by libcompat and libntlmauth
 - moves the remaining bits of fakeauth/ntlm.h to ntlm_fake_auth.cc

Library API changes:

 - moves some of the basic NTLM operations into libntlmauth
    * fetch_string UNICODE support
    * make challenge packet
    * validate packet type
    * make challenge nonce
    * unpack user and domain from authenticate packet

 - tweaks libntlmauth to split the make challenge operation so that it
   only generates the challenge object (does not encode blob for sending,
   or hard-code field values any more).

Other related changes:

 - tweaks the smb_lm helper which already linked libntlmauth so that it
   uses the updated API correctly after the above changes.

 - documents libntlmauth and some of ntlm_fake_auth helper

Port from 2.7: max_filedescriptor config option

Since Squid no longer really has any hardcoded filedescriptor limitations
it makes sense to have a squid.conf directive allowing the number of
filedescriptors to be tuned runtime. Default if unset is to obey whatever
ulimit settings as before.

 setMaxFD: figures out what to we can use for Squid_MaxFD

 setSystemLimits: Configures the system limitations to match our
expectations which might be lower than what setMaxFD finds if
the comm loop has additional restrictions

persistent_connection_after_error is meant to be on by default

for some reason the default was set to off. Default should be on
as reflected in the description.

Not all FTP servers provide a banner message. xstrdup do not like NULL pointers

Const correctness

Author: Various Translators
Translations Update auto-save

Author: Various Translators
Translations Update auto-save

kFreeBSD does not have linux headers.

Use SC system MD5 instead of hard-coded python paths

SC python updated

SourceFormat Enforcement

Author: Various Translators
Translations Update auto-save

Author: Sean Critica <sean.critica@gmail.com>
Bug 2943: ICAP tokens not logged when using multiple access

Author: Various Translators
Translations Update auto-save

Update release notes

Author: Tsantilas Christos <chtsanti@users.sourceforge.net>
Add logging of the local TCP port used by transactions with http servers

The new log format code is "%<lp"

In the case there are several server-side connections logs the port of
the last connection.

This is a Measurement Factory project.

Regards,
    Christos

Clean generated AutHType file

SourceFormat Enforcement

Bug 2305: Multiple leaks and assertion crashes in authentication.

 * implements proper RefCounting using the RefCount.h classes for
   almost all auth objects in Squid.

 * Restructures auth objects with a simpler structure of duties and scopes.

 * Prunes away several circular and indirectly circular pointer loops

 * Adds an API to auth config for handling the mainRotate() event. To only
   shutdown helpers, fixing the loss of cached credentials on rotate.

 * Adds a username_cache page to cachemgr interface to display the current
   credentials and their TTLs to various revalidation or garbage events.

With this we end up with several global pointers for the auth schemes which
have been built into the current Squid. These are RefCount pointers, fixing
the leak of schemes on shutdown. Schemes are now also permanent structures
for the runtime of Squid, fixing leaks on reconfigure and rotate actions.

These AuthSchemes are responsible for creating auth Config objects for each
auth protocol configured in squid.conf. These config objects are now also
able to be altered with a reconfigure instead of requiring a restart.

Each HTTP request authentication attempt generates AuthUserRequest objects,
which may or may not pointer to an AuthUser set of credentials being checked.
AuthUserRequest is RefCounted instead of locked, fixing several assertion
crashes.

AuthUser is now RefCounted instead of locked. It's children inherit
these properties. This simplifies the object handling a lot and fixes
several assertions.
 * This also means AuthUser no longer needs a back-pointer to all
AuthUserRequest in order to see if its still needed alive, fixing one
circular lock loop and a few possible assertions.
 * The username cache pointers to only AuthUser objects, fixing a second
cirular lock loop and potentially leakage. Also simplifying the hash cache
handling a lot.

Non-Auth code needing a reference to authentication credentials should
hold a pointer to either an AuthUserRequest or AuthUser object. Not any
other auth object.

FUTURE WORK;
 There is still some conditions leading to auth re-challenge when they
 are not expected.
 A fair chunk of classes and enums have been shuffled into separate files
 to keep the scopes clearer. This could be increased in future when
 building the Auth namespace.
 Potential is now present for simpler TTL handling for all auth types.

This work was a collaboration between multiple interested parties over
the last year, with additional developer time and testing funded by
Netspace Online Systems.

Merge from trunk

Merge from trunk

SourceFormat Enforcement

Bug #2938: Removal of DNS CNAME code broke acl dst lookups

lookup code failed to handle the case where handler == NULL properly, was only partially implemented

Bug #2937: Fails to detect chunked encoding if not given in all lower case

Document libntlm.la library API

Add omitted CLEANFILES to basic scripts Makefiles

Substitute Perl shell path into Basic auth helper scripts

This fixes these helpers by default on OS where the perl shell is not at
/usr/bin/perl. The problem of cross-compiling shell variation remains as
it was before.

TODO: roll out to other installed scripts

SourceFormat Enforcement

Prep for 3.1.4

Really disable IPv6 NDP lookup.

Author:  Alex Rousskov <rousskov@measurement-factory.com>
Bug #2789: Optimize unlimited memory pools, and correctly handle limits > 2GB.

SourceFormat Enforcement

Rework memory pools

- Default to the old simple non-chunked pool type using malloc
  with a simple freelist per pool.
- Various statistics & cachemgr Memory Utilization fixes
- Source reorganisation to split pool implementations from the general
  framework. Allocators now in MemPoolChunked.cc and MemPoolMalloc.cc,
  with general framework & statistics in MemPool.cc.

The chunked allocator is still available and can be activated by setting
the environment variable MEMPOOLS=1 but the default is now the non-chunked
allocator which has been fixed to account allocations properly for statistics
and also maintain a simple freelist to cache allocations.

No squid.conf changes, other than that the memory_pools and
memory_pools_limit directives now works as intended (not possible
with the chunked allocator).

Document --disable-mempools configure option as removed

--with-dns-cname was removed from 3.1 some time ago

Remove --enable-chunkedmempools configure option. The chunked alloctor is now experimental and likely being phased out.

Restore strict perl on DB helper

Rename --disable-mempools to --enable-chunkedmempools to reflect it's function

Blank out memory chunk statistics when not using chunked allocator

Correct saved allocations statistics

Simple freelist in malloc based pool allocator

Fix statistics

Merged from trunk

Correct common log format line ending output

Split MemPool.cc into generic framework and specific implementation

Disable memory pools by default

Bug 2810: common log format generates 2 lines of syslog

Based on work by Keyran Bayliss

Audit fixes

Author: Luis Daniel Lucio Quiroz <dlucio@okay.com.mx>
Add Joomla and Salted Hash support to basic_db_auth helper

Polished source-maintenance

Make source-maintenance.sh recurse again

Remove some excess whitespace

Merge from trunk

Author: Alex Rousskov <rousskov@measurement-factory.com>
Bug 2697: Adaptation leaks and extra requests after reconfiguration

This patch "detaches" services from the configuration during reconfiguration.
Detached services do not participate in new adaptation transactions but allow
the old transactions to finish nicely. Once all users are gone, the refcounted
service disappears.

As a side effect of these fixes, several aspects of eCAP service registration
and mapping of loaded and configured eCAP services have been fixed. We will be
able to claim support for eCAP reconfiguration after libecap adds
reconfiguration API.

Author: Various Translators
Translations Update auto-save

Bug 2877: pt2: only output zero-size warning on reverse-proxy requests

Add source-maintenance.sh to perform automated Maintenance Updates

* merge scripts/srcformat.sh automated formatting
* merge scripts/mk-debugs.sh previously manual debug section indexing

Also, cleanup some source files debug section information ready for
regular automated enforcement.

Updated documentation

SourceFormat Enforcement

Change LDAP helpers to default to LDAP version 3 if available

World has moved on, and it's now not uncommon to find LDAP servers not
accepting the old version 2.

Default-OFF and extra warnings for tproxy_uses_indirect_client option

Author: Wojciech Zatorski <zator@bg.szczecin.pl>
Author: Amos Jeffries <squid3@treenet.co.nz>
Support TPROXYv4 spoofing of X-Forwarded-For client address.

Assumes correct configuration use of the X-Forwarded-For header with
a zone of trusted sources.

SECURITY WARNING:
    This patch depends on security features not present in older Squid
    versions and is not to be ported or applied to earlier releases.

Author: Xavier Redon <xavier.redon@polytech-lille.fr>
Bug 2933: Verification of the max. port number for WCCP2 dynamic service

Author: Mark Nottingham <mnot@pobox.com>
Bug 2631: store-stale refresh_pattern option

RFC2616 allows almost anything to be cached*; most of the constraints are on
what can be used out of cache.

For example, this response:

HTTP/1.1 200 OK
Content-Type: text/html
Date: [date]

[ content ]

is cacheable as per HTTP; it just is considered stale as soon as it is cached.

However, Squid (and many others) don't cache all of these responses, at least
in part because doing so would decrease cache efficiency, and introduce more
load (e.g., on disk subsystems, etc.).

In particular, Squid won't cache a response unless it has either explicit
freshness (e.g., Expires, CC: max-age) or a validator (Last-Modified or ETag).

Nevertheless, doing so is desirable in some circumstances, because in some
deployments the client wants to be able to ask for a stale response. For
example;

GET /foo HTTP/1.1
Host: example.com
Cache-Control: max-age=3600, max-stale

Should retrieve the above response from cache, as long as it is less than an
hour old.

This patch adds a 'store-stale' refresh_pattern option that allows this.

Dump refresh_pattern config as single lines not pairs

Fix ToHostname potentially truncating port numbers

SourceFormat Enforcement

Fixed IpAddress port printing for ports higher than 9999:
snprintf includes zero-terminator in its size limit, so 7
rather than 6 bytes are needed to snprintf a colon followed
by 5 port digits.

Bug 2633 fix: Ecap::HeaderRep::value(name) fails when there is no named header
field

Calling Adaptation::Ecap::HeaderRep::value(const Name &name) with names
of header fields that do not exist leads to

    ICAP/AsyncJob.cc(218) dial: AsyncJob::noteStart threw exception:
    basic_string::_S_construct NULL not valid

I suspect this is a combination of
 - std::string constructor incapable of handling a nil char* pointer.
 - String::termedBuf() returning an nil pointer when the string is empty.

When there is no specified header field in the message, the value()
wrapper in Squid gets an empty String for the header value, which is
then used to create std::string, which fails or leads to failure.

I think it is wrong for termedBuf to return nil (because nil is not
0-terminated). I have not tried to fix that because we will have a new
String class soon.

Bug 2922 fix: assertion failed: HttpHeader.cc: "Headers[id].stat.aliveCount"

Fixed header accounting to avoid the "Headers[id].stat.aliveCount" assertion.

We were incrementing the alive header field counter twice for each decrement,
which probably resulted in the alive counter wrapping back to zero, triggering
the assertion.

Remove some cruft before audit

Merge from trunk

build errors after trunk update to IpAddress