GCC 4.7 SSL fix

Bug 3470: GCC 4.7

Bug 3370: external ACL sometimes skipping

Emit tag/user/log/message/pass details to the request in the case where
the external ACL entry has expired but within graceful revalidate period.

The result of this bug appears as incorrect matches later down the ACL
processing in any config relying on the external ACL output values.
Example; for bypassing auth login, or for filtering tagged traffic.

Do not add HTTP 110 and 111 Warnings to TCP_REFRESH_UNMODIFIED responses.

The old "stale if hit" logic did not account for cases where the stored
stale response became fresh due to a successful revalidation with the
origin server.
When the stored response was stale at the time of the request, we were
adding 110 "Response is stale" and even 111 "Revalidation failed"
Warning headers to responses while logging TCP_REFRESH_UNMODIFIED, which
is considered a hit.

SourceFormat Enforcement

Bug 3420: Request body consumption races and !theConsumer exception.

Also fixes endless waiting for HTTP client to send req body we no longer need.

Before these changes, the client side used a single "closing" state to
handle two different error conditions:

  1. We stopped receiving request body because of some error.
  2. We stopped sending response because of some error.

When a "directional" error occurred, we try to keep the transaction going in
the other direction (e.g., to give ICAP the entire request or to give HTTP
client the entire response). However, because there was just one "closing"
state, the code failed to correctly detect or process many corner cases,
resulting in stuck transactions and !theConsumer assertions/exceptions due to
races between enableAutoConsumption() and expectNoConsumption() calls.

This patch replaces the "closing" state with two direction-specific "we
stopped sending/receiving" flags.

Now, when the response sending code is done, it now checks whether the
receiving code stopped and closes the connection as needed. This is done both
when we encounter a sending error (ClientSocketContext::initiateClose) and
when we successfully sent the entire response to the client
(ClientSocketContext::keepaliveNextRequest).

Similarly, when the request body reading code is done, it now checks whether
the receiving code stopped and closes the connection as needed. This is done
both when we encounter a receiving error
(ConnStateData::noteBodyConsumerAborted) and when we successfully receive the
entire request body from the client (ClientSocketContext::writeComplete).

TODO: This patch focuses on various error cases. We might still have problems
when there is an early HTTP response and no errors of any kind. I marked the
corresponding old code with an XXX.

Bug 3473: erase last uses of obsolete auth_user_hash_pointer

Bug 3085: Crash when parsing esi:include

Bug 3442: assertion failed: external_acl.cc:908: ch->auth_user_request != NULL

External ACL sometimes cannot find the credentials in ACL Checklist even
if they are attached to the HTTPRequest object.

This seems to happen when the checklist is created and the line match
started before the credentials are known. The credentials validation
updates the HTTP request state but is not aware of ACL checklists needing
to be updated so it never happens.

This patch:
* locate the %LOGIN value from either place where credentials can be found,
* updates the checklist if it was unset,
* passes '-' to the helper if no credentials at all were given.

Although the earlier logics forcing a lookup means this '-' case should
not happen it might if the external ACL were processed in 'fast' check.

Polish: debug messages on swap.state rename failure

Portability: SSL library dependency fixes

This displays as many 'undefined reference to' on various X509_* objects.

Correct the library linkage order such that our local library links first
and gets visibility of the OpenSSL library definitions.

Bug 3440: compile error in Adaptation

3.1.18

Regression: compile error in FTP

3.1.17

Bug 3422: Buffer overflow in recv-announce

Bug 3428: Active FTP data channel accepted twice

Bug 3432: Crash logging FTP errors

Bug 3430: Document SSL EDH cipher configuration issues

Windows: cf_gen requires a .exe extension

Portability: fix radix.c include sequence

Fix segfault in %F error page token

Polish: convert one SECURITY WARNING to ALERT

Bug 2619: Excessive RAM growth due to unlimited adapted body data consumption

If the client does not read from the open connection (i.e. the user does not
confirm the browsers download-message-box in microsofts IE), squid keeps on
reading data from the ICAP server into the store entry, while no more data
can be delivered to the client.
Thus the store entry in memory is growing and squid may - in worst case -
consume memory up to the size of the users download.

This patch add API to StoreEntry to call the producer back when released
memory/space from the StoreEntry and add code to the ICAP client code to not
consume body data comes from the ICAP server when there is not available space
in the store entry.

Support %% in external ACL format

Improved SASL / SASL2 detection

Solaris and Darwin require -lsasl compile flag detection independent of
the .h include file naming. This may help other OS as well.

Bug 3423: access violation in URL parser

Avoid crashes when processing bad X509 common names (CN).

X509_REQ_get_pubkey() returns a refcounted object that we must clean after use.
X509_REQ_get_subject_name() does not; cleaning the result may cause segfaults.
How we are supposed to tell the difference is beyond me.

Bug 2910: MemBuf may grow beyond max_capacity

Bug 3412: External ACL Uses Invalid Cache Entry

Bug 3398: persistent server connection closed after PUT/DELETE

Fix assertion when dstdomain abused in access controls

This converts an assertion into a logged warning and a failed-match if
dstdomain ACLs are used in places where the HTTP request is not available.

Bug 3408: Wrong header length leads to EFAULTs when creating UFS swap.log.new

Also localized the header variable as it may be destroyed at any time.

Bug 3299: dnsserver: various undefined references

Portability: add cstdarg as source of var_arg when available

SourceFormat Enforcement

Bug 1243: Build overrides configured AR setting

Bug 3077: '\' in url query strings cause Digest authentication to fail

3.1.16

Prep for 3.1.16

SourceFormat Enforcement

Add directive dns_v4_first to make IPv4 connections before IPv6 is tried.

Default off, to prefer the faster protocol.

The use-case for this is networks which are IPv6-enabled but stuck
behind slow tunnels and whose upstream is not supporting full transit
services over IP.

Bug 3237: seq fault in free() from rfc1035RRDestroy

Bug 3190: Large HTTP POST stuck after early ICAP 400 error response

When an ICAP REQMOD service responds with an error to
(or the REQMOD transaction aborts while processing) a large HTTP
request, the HTTP request may get stuck because the request body
buffer gets full and nobody consumes the no-longer-needed content.

The ICAP code quits but leaves the body buffer intact in case the
client-side code wants to bypass the error. After that, nobody consumes
the request body because the buggy client side does not inform the body
pipe that there will be no other consumers, which would have triggered
a noteBodyConsumerAborted() callback and enable auto-consumption or closed
the client connection.

This is a Measurement Factory project

Bug 3373: invalid URL in ERR_CACHE_ACCESS_DENIED

Bug 3368: Unhandled exceptions are not logged (workaround)

Bug 3241: squid_kerb_auth cross compilation fix

When building inside Squid sources we can assume yes/HAVE_SQUID.

Docs: clarify retry_on_error situations

db_auth: display available DSN drivers on connect error

Updated OpenSSL 1.0.0 version checks.

LHASH_LHASH and PSTRING are only screwed up in 1.0.0d and later.

Remove duplicated code in gopher fix

harmless copy-paste error when patch was forward-ported from squid-2

Docs: limit internal DNS options properly

Bug 3320: miss_access description confusing

Bug 3326: miss_access incorrect default

3.1.15

Prep for 3.1.15

Remove hierarchy_stoplist default value

This should have been done long ago with the other dynamic website
handling changes. It has caused a certain amount of confusion when things
which apparently should go to peers fail to reach them.

Bug 3295: broken escaping in rfc1738_do_escape

SourceFormat Enforcement

cf_gen requires cstdlib

Prep for 3.1.15 and 3.0.STABLE26

Portability: Drop u_short type

Use uint16_t for precise binary size or unsigned short instead.

Polished unused code.

The unused dlopen() call is actually useful to enable when lt_dlopen() reports
"file not found" errors for loadable modules that do exist but that Libtool
cannot load successfully due to undefined symbols or other errors.

This inability to correctly report a library loading error is a long-standing
Libtool bug, stemming from Libtool's desire to try and load several
differently named library files until one succeeds, losing true error
information in the process.

Correct parsing of large Gopher indexes

Typo on rev.10357 port

Bug 3213: https sites (CONNECT) not open when using NTLM

Portability: use code instead of static initialization

g++ 4.4.5 on ARM mis-detects an inizializer's variable size. Give it a hint.

Fix NIS helper build on FreeBSD

Fails on clang++ and other strict compilers due to missing __cplusplus
checks in FreeBSD system headers and yp_prot.h typedefs bool unless
BOOL_DEFINED is defined.

Bug 1791: timestampsSet does not validate Date: if server sends very old date

Bug 3217: "!fd_table[fd].closing()" from ServerStateData::noteMoreBodySpaceAvailable

It is possible that the next hop connection is going through the closing steps
when we receive a "noteMoreBodySpaceAvailable" notification from the response
body consumer. Do not try to read in this case.

Bug 3107: ncsa_auth DES silently truncates passwords to 8 bytes

Bug 2662: cf_gen failure when cross compiling

Adds support for "./configure HOSTCXX=foo" to specify a host compiler
to build cf_gen with. If none is specified the normal build compiler will
be used.

Migrate cf_gen tool from C-style to C++

SourceFormat Enforcement

Portability: several issues in MinGW

Kill one goto

SourceFormat Enforcement

Fix missing brackets on revnno.10347

Bug 2655: passing wrong the username to the url_rewrite_program

Debug enhancements for rewrite helper user

Bug 3131: fd_table[fd].closing() assert from ConnStateData::noteMoreBodySpaceAvailable()

Bug 3232: fails to compile with OpenSSL v1.0.0

Correct memset size when clearing wccp assign message buffer

Fix if assignment warning

Simplify SASL config.test.

If headers are there then it's reasonable to expect libs as well being
present.

Note: not all archs places libs in /lib /usr/lib and
full searching is overkill.

ev_entry is a C++ class these days, don't attempt using it as a struct

Regression fix: vhost and defaultsite causing vport to be ignored

Instead of dropping it completely we should be sanely combining them like
Squid-2 does for most cases. This appears to have been lost while removing
the getmyHostname() from the process and reducing the
prepareTransparentUrl code.

This fix makes vport apply even if vhost was used. It will modify the
Host: header contents according to the documented vport semantics.

This fix makes vport apply even if defaultsite= was used. It will append
the specified port to the domain name given. Domains with port attached
are not supported and will produce invalid URLs.
TODO: detect this case while parsing the initial config and warn.

Regression fix: vhost and defaultsite causing vport to be ignored

Instead of dropping it completely we should be sanely combining them like
Squid-2 does for most cases. This appears to have been lost while removing
the getmyHostname() from the process and reducing the
prepareTransparentUrl code.

This fix makes vport apply even if vhost was used. It will modify the
Host: header contents according to the documented vport semantics.

This fix makes vport apply even if defaultsite= was used. It will append
the specified port to the domain name given. Domains with port attached
are not supported and will produce invalid URLs.
TODO: detect this case while parsing the initial config and warn.

Provide NULL when missing

Fix GCC4.6 warning unused variables

Enable negative cacheing on unknown or -1 expiry timestamp

This syncs the squid-3 code with what squid-2 does. There seem to be no
problems in squid-2, but squid-3 does not cache at times when it should
according to negative_ttl

Fix GCC 4.6 warning unused variables in test-suite

Bug 1842: Optimize order of tests in peerWouldBePinged() and peerHTTPOkay()

The peerAllowedToUse() function may be time consuming, especially on sites that
have lots of acls.

Bug 2051: 'default' cache_peer option does not match documentation

Move the default parent to second-lowest priority on the parent
selection. This also allows the other more delicate balancing
algorithms to work properly with a default configured.

sourcehash and userhash are reversed in priority to simplify and
speed the selection code.

Also, getAnyParent() is dropped. It is redundant with the FIRSTUP
 algorithm.

Bug 3114: Memory leak in SSL certificate verify code

Fix --disable-follow-x-forwarded-for and correct documentation

This feature is available by default. But protected by default "deny all"
to restrict security problems.

Bug 2495: ignore whitespace prefix on config lines

Allow whitespace indentation before any lines. Making SMP and comment
configuration easier to read for some.

Bug 3222: cache_peer name is not logging on CONNECT

Remove duplicate calls to IsAnyAddr in DNS

3.1.14