CGI was published as RFC3875 some time ago.

Better description of the --enable-gnuregex configure option from
Reuben Farrelly

Bug #1223: Make the use of the %m error page to return auth info
messages

This patch extends the helper protocols for Basic and Digest to provide
some basic information in error responses, and makes use of the error
response already included in the NTLM helper protocol, making these
messages available as %m in error pages. Can be used if desired to
indicate why a login failed. The exact messages returned is helper
dependent.

Forward port of 2.5 patch.

Bug #1223: Make the use of the %m error page to return auth info
messages

This patch extends the helper protocols for Basic and Digest to provide
some basic information in error responses, and makes use of the error
response already included in the NTLM helper protocol, making these
messages available as %m in error pages. Can be used if desired to
indicate why a login failed. The exact messages returned is helper
dependent.

Forward port of 2.5 patch.

Bootstrapped

Bug #1094: Fix for CVE-1999-0710: cachemgr malicouse use

This patch adds access controls to the cachemgr.cgi script, preventing
it from being abused to reach other servers than allowed in a local
configuration file.

Forward port of 2.5 patch.

pthread_t is not always an unsigned long, a type cast is needed.

Bug #414: Unrecognized cache-control directives are silently dropped

Forward port of 2.5 patch.

Allow MSNT helper to build again after IPv6 preparation patches:

MSNT was not including config.h before this.

Bug #798: username format addition into errorpage.c

%a for the authenticated user name

Forward port of 2.5 patch.

Bug #1227: Document the new -l command line option

Bug #1196: Unable to run "squid -k" when hostname cannot be determined

Forward port of 2.5 patch.

Added DNS RFC as reference.

Updated the index explaining why each document is here

Replaced by draft-forster-wrec-wccp-v1-00.txt

Some additional relevant (but expired) Internet Drafts

Bootstrapped

IPv6 preparation by Rafael Martinez Torres <rafael.martinez@novagnet.com>

- This patch does change literally the term IN_ADDR by in_addr in all the
files containing this term, except the file "inet_ntoa.c", the only one
not including "config.h" (either direct or undirectly).
- The correposding "defines" are in config.h . They are guarded by "INET6"
define, (#ifdef INET6), so branches others that squid3-ipv6 should not be
affected in their compilations.

Bootstrapped

Added per thread usage info in cachemgr Async IO Function Counters.

Use FD_READ_METHOD/FD_WRITE_METHOD instead of read()/write()
in the async-io completion event for better portability

The CommIO class must be moved to a separate include file to
avoid problems with fde.h inclusion from comm.h

CommIO.h is needed from ufsdump too.

Use FD_READ_METHOD/FD_WRITE_METHOD instead of read()/write()
in the async-io completion event for better portability

The CommIO class must be moved to a separate include file to
avoid problems with fde.h inclusion from comm.h

Bug #1227: squid should syslog to daemon facility not local4

  this patch adds a new command line option -l to specify the syslog
  facility.

Forward port of 2.5 patch.

Bug #1122: persistent connection mixup on failed PUT/POST request

Forward port of 2.5 patch

Don't call neighbors_init() when icp_port is set to 0

Bug #671: Several minor aufs issues

- Enhance performance by zero-copy writes, enabled by making the mem
  nodes reference counted.
- Implement ASYNC_CLOSE define, default to off.
- Remove unused aioFDWasClosed call
- Kill warning about event notification filedescriptors still
  being open on shutdown.
  Also optimizes slightly by initializing the squidaio layer early,
  avoiding the need to check if initialized in each and every call.

Forward port of 2.5 patches.

Bug #1278: external acls requiring authentication does not request
credentials on access denials like proxy_auth does.

The ext_user acl is not authentication related. This provides other
means of giving a username to Squid (out-of-band, cookies, whatever)

Add missing ESIParser::Parser variable

Crude implementation of ESIParser registry, making ESIParser.cc
independent of the available parsers, indirectly solving the
libxml2/expat conflict and preparing for easy buildtime selection of the
available parsers.

Bug #988: src/fs/aufs/store_io_aufs.c fails to compile with ASYNC_WRITE set

Forward port of 2.5 patch.

Bootstrapped

Bug #1270: --disable-hostname-checks does not work

The --enable-hostname-checks configure option was always ignored.

Forward port of 2.5 adapted patch

Release as squid_ldap_group version 2.17

Bootstrapped

Temporary fix of a conflict between libxml2 and expat include files
before the resolution of bug #1155: ESI parsers need to be made modular

Affected Platforms: FreeBSD 5.3, Solaris 9, Cygwin, MinGW, Debian Sarge,
Fedora Core 3 and probably many others.

Fixed some little bugs introduced with latest SSL update.

Forward port of all latest 2.5 changes

Bug #1171: Basic authentication fails with very long logins or password

There was an artificial limit on the login+password to no more than 64
characters in total.

Forward port of 2.5 patch.

Bug #1258: LDAP helpers fails to compile with SUN LDAP SDK

Forward port of 2.5 patch with addition of MinGW support.

From ssl-2.5 2004/12/02 00:53:40

%USER_CERTCHAIN external_acl_type tag, returning the complete client SSL
certificate chain

From ssl-2.5 2004/12/02 00:53:40

Basic support for CRL lists

From ssl-2.5 2004/10/22 14:52:33

%USER_CERT external_acl_type giving the user certificate in PEM format

Plug memory leak in certificate based ACLs

From ssl-2.5 2004/10/22 14:52:33

NO_SESSION_REUSE https_port ssl flag, disabling the SSL session reuse /
resumption support.

From ssl-2.5 2004/04/18 01:09:07

cleanup of error reporting

do_debug(section, level), a macro to conditionally check if a certain
debug level is active.

Rename windows debug trap variable do_debug to do_debug_trap to make
room for other uses of do_debug

From ssl-2.5 2004/04/18 01:09:07

sslcontext parameter, for controlling the SSL Session cache context ID

From ssl-2.5 2004/04/18 01:09:07

Support temporary RSA keys of length 1024

From ssl-2.5 2004/04/18 01:09:07

Improve error reporting when establishing outgoing SSL connection fails
to negotiate.

From ssl-2.5 branch 2003/10/27 16:56:30

Cleaner unclean SSL shutdown implementation

Replace DIRECT by HIER_DIRECT to avoid conflicts with certain
third-party headers defining DIRECT to something else

Bugfix from ssl-2.5 2004/09/06 16:59:21

Fix user_cert and ca_cert acls.. was mixed up making user_cert match
what ca_cert should have mathed and the reverse.

Found by Fauquet, Xavier

Bugfix from ssl-2.5 2004/07/14 23:24:32

Fix filedescriptor leak on SSL_new allocation error

Merged bugfix from ssl-2.5 2003/11/19 12:38:39

https_port key=.. cachemgr config dump bugfix (was giving the cert path)

Bootstrapped

Bug #1257: compile warnings due to pid_t not being an int

Forward port of 2.5 patch and added use of debugs() where applicable

Bug #1262: Duplicate content-length headers logged as conflicting with
relaxed_header_parser off

also forgot to clean up duplicate content-length headers with
relaxed_header_parser enabled (on/warn)

Forward port of 2.5 patch.

Bug #1259: Incorrect use of ctype functions

Forward port of 2.5 patch.

Bug #1256: bzero is a non-standard function not available on all
platforms

Substitute bzero by memset

Bug #1261: Peer digest fetch initiated even if peer not allowed to be
used for the request

Forward patch of 2.5 patch.

Bug #1159: reload_with_ims fails to refresh negatively cached objects

Forward port of 2.5 patch.

Bug #1245: Clarify delay_access function

Forward port of 2.5 patch.

Bug #321: Squid date handling fails to handle several slightly
nonconforming date formats in use on the Internet today.

There is many servers sending non-conforming dates outside the formats
documented in RFC2616. This patch simplifies the date parser allowing
Squid to process dates is a number of other "odd" formats. The benefit
of doing this is that it allows Squid to properly cache objects from
these servers.

Forward port of 2.5 patch.

Bug #1247: maximum_object_size 2 GB = nothing cached

Forward of 2.5 patch.

Bug #972: Crash after "likely proxy abuse error"

Forward port of 2.5 patch.

Syslog is not available on all platforms.
Added #if HAVE_SYSLOG to allow build on every OS.

Bug #890: Various HTTP workarounds and minor corrections

- Automatically time out incorrectly signalled persistent connections
  after 10 seconds of inactitivy. Also gives a warning in cache.log

- New detect_broken_pconn squid.conf option

- Do not strip whitespace from the beginning of HTTP/0.9 replies

- Do not delay forwarding of HTTP/0.9 replies

- Do not delay forwarding of POST/PUT replies. Also includes detection
  of some common forms of abuse of the same for non-HTTP requests.

Forward port of 2.5 patch.

Bug #1233: Data corruption under certain conditions involving
http headers split over multiple packets.

Forward port of 2.5 patch.

Forward port of all the header parsing cleanup of 2.5.STABLE8:

- squid-2.5.STABLE7-header_parsing.patch
- Bug #1228
- Bug #1242
- Relaxed_header_parser squid.conf option.
- New ERR_INVALID_RESP error message.

Forward port of all the header parsing cleanup of 2.5.STABLE8:

- squid-2.5.STABLE7-header_parsing.patch
- Bug #1228
- Bug #1242
- Relaxed_header_parser squid.conf option.
- New ERR_INVALID_RESP error message.

Bug #1252: Fails to parse DJ D. J. Bernstein's EPLF ftp listing format
and PASV format

Forward port of 2.5 patch.

Add support for seding access.log via syslog

Bug #1210: 403 replies and many other server generated errors should not
be retried. (RFC2616)

Retrying these is a slight violation to the RFC, even if it may be
useful in certain complex hierarchy cases to work around
misconfigured or malfunctioning peers.

This patch adds a new squid.conf directive "retry_on_error" to revert
back to the old mode of aggressively retry requests on errors.

Forward port of 2.5 patch.

Bug #1238: Explain the login= cache_peer option more clearly

$(RM) is not automatically defined on BSD make, so hardcode 'rm
-rf' instead

Bug #1216: 2.5.STABLE8-RC2 enhanced cache.log : httpProcessReplyHeader message

Forward port of 2.5 patch.

Bug #1234: util.c:612: xstrndup: Assertion `n' failed.

Forward port of 2.5 patch.

Bug #1154: Disable Path-MTU discovery on intercepted requests

This patch adds a disable-pmtu-discovery option to http_port directive
allowing one to disable Path-MTU discovery on accelerated requests.

Based on 2.5 patch.

Bootstrapped

Added configure test to see if -lepoll is available when using --enable-epoll:

-lepoll is not needed (and may be not present) on kernel 2.6 platforms
with newest glibc, but may be needed on systems updated from 2.4 to 2.6
kernel still using old glibc.

Bug #1178: ufsdump will not compile with --enable-epoll configure option

usfdump doesn't depend from comm_epoll.cc

With this patch the selection of epoll during configure is now similar to
other comm loops type.

Bootstrapped

Missing ufsdump source file dependency

Bug #1226: Improve password handling in FTP gatewaying

Forward port of 2.5 patch

Forward port of all latest 2.5 changes

Bugfix another typo

Bugfix a cut & paste typo

Check for errors on signal()

Kill unused opt_accel_uses_host global.

Bug #1209: Squid 3.0 segfaults when requesting mgr:config

Patch from Gonzalo Arana

Bug #1225: WCCP easily disturbed by forged packets

Forward port of 2.5 patch.

Fixed some trivial indentations bugs making the document somewhat hard
to follow

Bug #1187: Usernames with whitespace

Add sanity checks on LDAP user names

Forward port of 2.5 patch.

Bug #1181: missing %EXT_USER in tag external_acl_type in squid.conf.default

Reported by Gonzalo Arana

Bug #1194: FTP data connection fails on some FTP servers when requesting
directory without a trailing slash

This patch simplifies FTP data connection management to always reopen a
new connection after a failed FTP request.

Forward port of 2.5 patch.

Bug #1217: Buffer overflow in WCCP recvfrom() call

The length argument of the WCCP recvfrom() call is
larger than it should be.  An attacker may send a
larger-than-normal WCCP packet and overflow a buffer.

Reported by the FSC Vulnerability Research Team

Bug #1189: buffer overflow bug in gopherToHTML()

Yet another buffer overflow bug in gopherToHTML().  This one is similar
to others already found and the same solution is used.  If a potential
overflow is detected, the excess input is simply lost.

Forward port of Duane's 2.5 patch.

Bug #1190: Denial of service with forged WCCP messages

WCCP_I_SEE_YOU messages contain a 'number of caches' field which
should be between 1 and 32.  Values outside that range may
crash Squid if WCCP is enabled, and if an attacker can
spoof UDP packets with the WCCP router's IP address.

This patch drops and logs WCCP_I_SEE_YOU messages if the number of
caches is less than 1 or greater than 32.

Forward port of Duane's 2.5 patch.

Bug #1212: helper leak on squid -k reconfigure

HelperShutdown does not actually shutdown any helper.
The problem was originated during the forward port of fixes from bug #1118.
This patch also adds a debug message "shutting down".

Reported by Gonzalo Arana