Merge from trunk

Language Updates

Merge from trunk

Various suggestions accepted

Bug 2492: assertion failed: Server.cc:70: "!requestBodySource"

Paranoid: check that swanSong has been called
Extra paranoia: run before exiting swanSong. I really mean it. They MUST pass here.

Author: Alex Rousskov <rousskov@measurement-factory.com>
Bug 2492: assertion failed: Server.cc:70: "!requestBodySource"

swanSong should set the pipe to NULL after stopping
consumption. There is even a convenience/safety method to do both in one call.

The attached patch replaces raw pipe->stop*() calls with convenience/safety
wrappers.

Moved ICMP-only variables to ICMP-specific code in order to prevent
fatal "unused variable" GCC warnings.

Fix make dist of pinger.

Author: Gilles Espinasse <g.esp@free.fr>
Bug 2494: Fix tproxy url in configure

Author: Mikio Kishi <mkishi@104.net>
Fix access.log request size tag (%>st)

Author: Francesco Chemolli <kinkie@squid-cache.org>
Misc fixes for out of tree builds

ICMP path fixes by Francesco Chemolli <kinkie@squid-cache.org>

testheaders and cleanup amendments by Amos Jeffries.

Fix: request may be NULL on some errors.

Author: Francesco Chemolli <kinkie@squid-cache.org>
Bug 2489: Testsuite doesn't obey authentication scheme ./configure parameters

I've added a couple of AC_DEFINEs and a couple of #ifdefs to make the
offending tests conditional on the actually-built builtin auth-methods.

Updates auto-save

SourceLayout: lost ICMP Makefile.am

Prevent linking and performing checks for not-configured auth methods (bug 2489)

SourceLayout: ICMP NetDB libraries

Default enable error page localization

Default enable IPv6

Merged from trunk

Shuffle debug_log into Debug.h

Merge from trunk

Update configure.in code about ICMP

added configure.in stuff for autoheader to build the appropriate #defines

uudecode and --enable-truncate no longer relevant

Spelling, spelling, and typos

Update Release Notes for 3.1

Also,
 removes obsolete $Id$ tags from 3.0, 3.1 notes.
 typo in cf.data/pre documentation

Sync 3.0 release notes

Drop ancient TODO list into wiki instead

Update ChangeLog for 3.1.0.1

Bug 1441: tcp_outgoing_address + peering need acl matching actual endpoint

Adds the 'peername' ACL to match against the cache_peer name=X values.

Also, adds peername ACL tests to tcp_outgoing_addr.

NOTE:  Only checks against the first peer of all possible peers selected for
the connection. So on failures the outgoing address may still be incorrect for
the secondary peers.

Thanks for testing to Andrew McMillan <andrew@morphoss.com>

Updates auto-save

Remove several unnecessary uses of putStrf and a compile error

Add configure option --with-logdir=PATH for change of the log directory

Not all OS and builds can cope with the BSD /var/logs default.
This lets users and maintainers set OS-dependant log location without
needing to patch and bootstrap the code.

Correct settings for v4-mapped.

Its always useful in IPv6. Unless split-stack has been requested.

Update public IPv6 configure sub-options.

Drop all mention of CNAME recursion. Still buggy and experimental.

Alter --with-ipv4-mapping to default ON.
This is harmless if system defaults it to ON. But resolves problems
seen with systems where OS default is OFF disabling this advanced
hybrid-stack feature which squid needs.
Seen in some Linux, FreeBSD 7.1, OpenBSD, and Vista.

Windows port: Fix build error using latest MinGW runtime.

Merge from trunk

Extend errorTryLoadText to accept absolute paths for page

Revert r9281. fubar.

Author: Klaus Singvogel <kssingvo@suse.de>
Bug 2483: bind() called before connect()

Typo.

Boost debug output on socket FDs

Merged from trunk

General ICMP dependant cleanups.

Moved netdb*() function definitions into icmp/net_db.h

Various compile and link errors after ICMP and Net_db move.

Some large blocks of potentially expensive code which are no-op without
ICMP and NetDB capabilities are now built only when useful.

Split ICMP library in two. Move Net DB protos into icmp/net_db.h

Author: Steve Bennett <S.Bennett@lancaster.ac.uk>
Bug 2486: SEGV at startup due to URLHostName

Make srcformat.sh script portable

Made smart enough to locate its own ROOT properly if run from bzr branch

Made it revert unsafely re-formatted files to prevent accidental commits
Now leaves a *.astylebad containing the attempted reformat for comparison

Removed bashisms to make script properly /bin/sh executable

Merged from trunk

SourceFormat: Main reformat push

This revision formats all .h .c .cc .cci files according to the
code format chosen for Squid-3 releases in future.

Due to outstanding patches which are not easily adapted a few files
have been omitted from this particular format push:

  src/comm.cc
  src/client_side.cc
  src/client_side.h
  src/errorpage.cc
  src/fde.h
  src/ftp.cc
  src/http.cc
  src/HttpRequest.cc
  src/pconn.cc
  src/pconn.h
  src/ICAP/ICAPModXact.cc
  src/ICAP/ICAPModXact.h
  src/ICAP/ICAPOptions.cc
  src/ICAP/ICAPServiceRep.cc
  src/ICAP/ICAPServiceRep.h
  src/ICAP/ICAPXaction.cc
  src/ICAP/ICAPXaction.h
  src/Server.cc
  src/Server.h
  src/structs.h

Updates for running on squid-cache.org

Author: Alex Rousskov <rousskov@squid-cache.org>
Fix compile errors with std::exception

Updated FwdState::updateHierarchyInfo() documentation with Henrik's comment
that was about to be lost in a closed bug #2391 report.

Fix link errors

Fix recursion inside srcformat script after rename

SourceFormat: Convert md5checker script into a recursive formatter+validator

This converts the md5 validation script from a single layer to a
recursive script.

Given a directory path calls the formater.pl script for all .h .c .cc and
.cci files within. Validating each file conversion as it goes and aborts
at the first error found.

This is intended for maintenance of the central Squid-3 repository code.

NP: As with the original checker its a bash script.
    Probably non-portable right now without adaptions.

Properly fix squid_kerb_auth configure recursion

Update squid_kerb_auth bundled files

reconf should not be needed. Squid bootstrap.sh does all that.
It ws not provided to us in the official 1.0.3 bundle anyway.

Also other sub-project attribution files should to be bundled with Squid.

Document the reply_body_max_size line format

Fix: Unsupported tag name: yes

--with-tags is documented by configure as having optional parameter
this is not true. The parameter is required.

Fix: cfgaux/configure failed for helpers/negotiate_auth/squid_kerb_auth

Turns out that it needed to be added to the bootstrap system as well
as made a sub-configure.

Also move sub-configure to only occure when the helper needs to be built.
There is no need to waste time configuring dead code.

Snapshot 3.1 branch

Compile error. Cast was needed

Author: Markus Moeller <markus_moeller@compuserve.com>
Update squid_kerb_auth helper to 1.0.3 release

Also add missing config.test file (empty) so
 --enable-negotiate-auth-helpers=X will build it with Squid.

  squid_kerb_auth 1.0.3 Official ReadMe file:

--------------------------------------------------------------------------------
readme.txt is the squid_kerb_auth read-me file.

Author: Markus Moeller (markus_moeller at compuserve.com)

Copyright (C) 2007 Markus Moeller. All rights reserved.
--------------------------------------------------------------------------------

squid_kerb_auth Read Me

Markus Moeller
May 12, 2007

1 Introduction

squid_kerb_auth is a reference implementation that supports authentication via
the Negotiate RFC 4559 for proxies. It decodes RFC 2478 SPNEGO GSS-API tokens
from IE7 either through helper functions or via SPNEGO supporting Kerberos libraries
and RFC 1964 Kerberos tokens from Firefox on Linux. Currently, squid_kerb_auth
 supports Squid 2.6 on Linux.

squid_auth_kerb requires either MIT or Heimdal Kerberos libraries and header files.

2 Building and Installation

Run ./configure

for help use ./configure --help

Copy the helper squid_kerb_auth to an apropriate directory.

3 Configuration

a) Configure IE or Firefox to point to the squid proxy by using the fqdn. IE and Firefox will use the
fqdn to query for a HTTP/fqdn Kerberos service principal.

b) Create a keytab which contains the HTTP/fqdn Kerberos service principal and place it into a directory
where the squid run user can read the keytab.

c) Add the following line to squid.conf

auth_param negotiate program /usr/sbin/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on

d) Modify squid startup file

Add the following lines to the squid startup script to point squid to a keytab file which
contains the HTTP/fqdn service principal for the default Kerberos domain. The fqdn must be
the proxy name set in IE or firefox. You can not use an IP address.

KRB5_KTNAME=/etc/squid/HTTP.keytab
export KRB5_KTNAME

If you use a different Kerberos domain than the machine itself is in you can point squid to
the seperate Kerberos config file by setting the following environmnet variable in the startup
script.

KRB5_CONFIG=/etc/krb-squid5.conf
export KRB5_CONFIG

4 Miscellaneous

If squid_kerb_auth doesn't determine for some reason the right service principal you can provide
it with -s HTTP/fqdn.

If you serve multiple Kerberos realms add a HTTP/fqdn@REALM service principal per realm to the
HTTP.keytab file and use the -s GSS_C_NO_NAME option with squid_kerb_auth.

Merge from trunk

TestBed: maximum build run

Update cf_gen_defines to match code

Merge from trunk

Bug 2474: action 'menu' is hidden but should not be

Bug 2393: DNS requests getting stuck in idns queue

Port of Squid-2 fix by Henrik Nordstrom

There seems to be two problems here.

a) On TCP communication failure Squid starts to restransmit the TCP query as
fast as it can, with no bounds checking. Keeps doing that until there is a
response or Squid is restarted...

b) For some reason the retransmit queue seems to halt for you. I have not yet
reproduced this issue, but may be related to the first..

Author: Henrik Nordstrom <hno@squid-cache.org>
Bug 2447: pt 1: Segfault on failed TCP DNS query

Adds debug messages for better tracking.
Aborts fatal operations early.

Author: Christos Tsantilas <chtsanti@users.sourceforge.net>
Port Connection Pinning from 2.6

Real: Fix NO DEFAULT compile errors

Undo r9254. Bad mixed commit

Add config.test for squid_kerberos_auth helper

File is empty. It exists only go let the configure tests for
--enable-negotiate-auth-helpers=all detect the helper is okay for build.

Merge from trunk

Fix NO DEFAULT compile errors

Link new helper into Squid autotools chain

Import new helper code.

Bug #2447: Segfault on failed TCP DNS query

This patch makes Squid log the DNS failure if it fails to connect to
a DNS server over TCP. TCP is required if the DNS response do not fit
within the small DNS UDP packet size (ca 0.5kb).

Converity detected. inconsistent error detection on StoreIOBUffer

Audit reveals only one of several callers which might set negative length
state were checking for it and setting error flag properly.

Makes more sense for the StoreIOBuffer constructor to do its own
error state detection with information than to offload on callers.

Coverity detected possible NULL dereference.

KK message response with exactly zero-length encrypted data component
will cause Squid fakeauth helper to crash.

Not expected in normal operation. But maybe seen with specially crafted
or rare mangled responses.

Veto: r9250. bad patch.

Bug #2447: Segfault on failed TCP DNS query

This patch makes Squid log the DNS failure if it fails to connect to
a DNS server over TCP. TCP is required if the DNS response do not fit
within the small DNS UDP packet size (ca 0.5kb).

This patch apparently do not solve the segmentation fault, but at least
logs the condition properly.

Removed UNUSED_CODE guards around check_null_access_log() because it is still
used.  I do not know whether the latter is a bug, so this fix may be wrong,
but it allows trunk to build.

Removed extra ICAPConfig* parameter from depricated ICAP config functions.
I have fixed this bug before, but in the generated file :-(

eCAP support, phase 2: Implemented libecap interfaces, added eCAP
squid.conf options. Link with libecap when eCAP support is enabled.

eCAP code needs polishing and enhancement but appears to work for a few
targeted cases. I am committing this now so that users working on eCAP
modules can test and provide more specific feedback.

These adaptation-specific changes should not have significant effect on
core code.

The libecap library is available at http://www.e-cap.org/

Updates auto-save

  Merged from trunk.
  These were eCAP,p2-inspired changes that were committed separately.

Catch most exceptions in main() to report exceptions uncaught by Squid.  This
is for last resort reporting only -- the program would exit anyway (usually
with less information) if we did not catch these.

The code re-throws caught exceptions to reduce side effects of catching it,
just in case. May need more work depending on how compilers handle rethrowing.

These changes were inspired by eCAP.

Merged from trunk.
These were eCAP,p2-inspired changes that were committed separately.

Synced after adding HttpMsg::clone().

Added HttpRequest::clone, completing HttpMsg::clone API. When ICAP is
converted to use this, it should work faster for a common "no modifications"
case because it would not have to print and parse the headers.

TODO: Consider renaming the method since it does not produce an exact,
true replica. Some connection-related flags and peer settings are not
cloned because the clone is not always "attached" or "coming from"
the same connection (e.g., it is cloned for eCAP to modify). We may also
#ifdef the method if it is not needed outside of adaptation code.

The HttpMsg::body_pipe field is now copied when a message is cloned.
I was not sure what the right thing to do there is. The field itself
may be misplaced (it is not about the message structure or properties,
but about the current body transfer state, but we lack a good place to
store that...).  To reduce the number of cloning exceptions, and since
eCAP and probably ICAP code benefit from pipe copying, it is copied
for now. It would not be too hard to change.

Polished ServerStateData cleanup code: Moved more cleanup code from the
destructor with its dangers of half-destroyed context to safe swanSong.

Made TextException a child of std::exception so that it is easier to catch
more exceptions (standard and custom) with one catch(). The catching code
usually does not care what the exception is anyway.

TextException needs more work to report more information in what() method.

Catch std::exception to catch more printable exceptions. TextException is an
std::exception [child].

These changes were inspired by and required for eCAP.

Polished BodyPipe API. No runtime changes expected.

Merged from trunk.

config cleanup: make log defaults optional.

access.log at least can have multiple logs defined. Declaring an
unconditional default is not a good idea.

Same goes for cache.log default despite its different design.

Now only define their default if none given by the user.

Revert active part of error page stylesheets.

Strange Install blocker bug found. No solution yet.

(19:04:54) rousskov: 2008/09/30 00:05:20| errorpage.cc(290) errorTryLoadText:
 '/usr/local/squid3-ecap/share/errors/templates//usr/local/squid3-ecap/etc/errorpage.css':
 (2) No such file or directory
(19:07:52) rousskov: $ make install > /tmp/tm
(19:07:52) rousskov: /bin/bash: -c: line 17: syntax error near unexpected token `then'
(19:07:52) rousskov: /bin/bash: -c: line 17: `@if test -f /usr/local/squid3-ecap/etc/errorpage.css ; then \'

To keep swanSong() checks simple, we need to NULL-ify vb body_pipe even if
we never were a consumer (because of useVirgin short circuiting).

For useVirgin() cloning to work when we were a consumer, we need to clone
before we clear the consumer (and body_pipe with it).

The whole thing is icky. This should be improved when Adaptation::Message does
not have to store a copy of body_pipe (there is already a TODO for that,
IIRC).