Docs: Update CONTRIBUTORS

Release Notes updates

Fix off by one in SNMP subsystem

Ignore Range headers with unidentifiable byte-range values

If squid is unable to determine the byte value for ranges, treat the
header as invalid.

Protect against buffer overrun in DNS query generation

see SQUID-2013:2.

This bug has been present as long as the internal DNS component however
most code reaching this point is passing through URL validation first.
With Squid-3.2 Host header verification using DNS directly we may have
problems.

Bug 3622: peerClearRRStart scheduling multiple events

Port package version check update from 3.1

3.0.STABLE26

Prep for 3.0.STABLE26

Bootstrap

Bug 3107: ncsa_auth DES silently truncates passwords to 8 bytes

Correct parsing of large Gopher indexes

Regression fix: Replacing reply headers

Restores the functionality to replace reply headers as found in Squid 2.
header_replace worked for both request and reply headers back then.

The creation of request_header_access and reply_header_access altered
replace_headers to only work on requests. It should have received this
name split back then.

Bug 3183: Invalid URL accepted with url host part of only '@'.

3.0 results in an ICAP segfault handling these URLs.

Newer releases do not segfault as easily, but still accept the invalid
URL and there may be other unknown side-effects.

Makes the URL parser present ERR_INVALID_URL for this edge case.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 3056: comm.cc "!fd_table[fd].closing()" assertion from helperServerFree when a helper crashes while processing requests

reshuffle helperServerFree so it first unregisters the failed helper
and starts new ones if needed before it calls the callbacks on any
pending requests. If not those ends up resheduling the request on
this same crashed and partially shut down helper.

Author: Alex Rousskov <rousskov@measurement-factory.com>
Check for NULL and empty strings before calling str*cmp().

These checks are necessary to ensure consistent comparison results (important
for sorting and searching) and to avoid segfaults on NULL buffers (because
termedBuf() may return NULL instead of the expected "0-terminated buffer").

Author: Matthias Pitzl <silamael@coronamundi.de>
Bug 2991: Wrong parameters to fcntl() in commSetCloseOnExec()

Author: Xavier Redon <xavier.redon@polytech-lille.fr>
Bug 2933: Verification of the max. port number for WCCP2 dynamic service

Author: Alex Rousskov <rousskov@measurement-factory.com>
Bug 2922: Fix assertion failed: HttpHeader.cc: "Headers[id].stat.aliveCount"

Fixed header accounting to avoid the "Headers[id].stat.aliveCount" assertion.

We were incrementing the alive header field counter twice for each decrement,
which probably resulted in the alive counter wrapping back to zero, triggering
the assertion.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2876: FD_SETSIZE override not working on all linux distributions

The glibc hack for overriding FD_SETSIZE seems to have broken down on some families
of Linux distribution, requiring one more header to be included before redefine.

Hopefully this does not break the FD_SETSIZE override on more systems than
it fixes.. if it does then some additional autoconffuu will be needed.

Author: Unknown
Bug 2879: 3.0 regression in headers end finding

Ported from Squid-2.

Also, updates from Alex Rousskov for 3.x.

Bug 2899: Restore lost rfc1738_unescape() data type

Data type was converted to char from int during recent upgrades.
On unix systems char is unsigned making the safety checks fail on build.
This reverts the type back to a usable signed int, no logic changes.

Sync Authors from changesets

3.0.STABLE25

Prep for 3.0.STABLE25

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2367: Fix stale=true on digest requests with unknown nonce

The nonce staleness check only worked if the stale nonce had not yet
been garbage collected, often resulting in incorrect stale=false
responses and resulting auth popups when using digest auth.

Note: this fix is different from how it's done in squid-2 where fixHeader
is called on all schemes in such conditions but only the active one with
and auth_user_request. Not entirely sure why that is done, but commit
message says something about Negotiate authentication.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Various other Digest parser fixes

* Correct debug message when failing to parse digest attributes
* Correct digest stale=false in POST workaround code
* Fix new digest parser shutdown code when digest auth not configured
* Sanity check of the username.
  " cannot be allowed in usernames until the digest helper protocol
  has been redone

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2845: Rework the http digest auth parser

- Validate sanity of digest messages
- Properly parse quoted strings

Author: Henrik Nordstrom <hno@squid-cache.org>
Swallow 1xx status messages

Ported from 2.7. This makes Squid swallow 1xx replies from 1.1 servers
safely without breaking the clients connection.

Author: Diego Woitasen <diegows@xtech.com.ar>
Bug 2507: squid_ldap_group: Strip Domain name separated by +

Bug 2787: unknown/unexpected status code messages

Correct FAQ link

Fix merge conflict error in rev 9138 Fix more gcc-ism in CBDATA_DEBUG

3.0.STABLE24

Prep for 3.0.STABLE24

UPdated refresh pattern for dynamic pages

This brings 3.0 into line with the more correct version already in 3.1.
It catches less false-postives on dynamic URLs.

HTCP logging does not exist in 3.0

Typo in rev9166

Author: Kieran Whitbread <k.j.whitbread@qmul.ac.uk>
Bug 2858: Segment violation in HTCP

3.0.STABLE23

Prep for 3.0.STABLE23

Handle DNS header-only packets as invalid.

Revert incomplete revno9151

Merge error when removing optional kerberos/spnegohelp/ library

3.0.STABLE22

Prep for 3.0.STABLE22

Author: Marko <mr_4u2@yahoo.com>
Bug 2496: Downloading some variants in full before relaying

AKA, assertion failed: comm.cc:115: "ccb->active == false"
if the client disconnected before download finished arriving.

Bug 2787: pt 1: unexpected http status code messages

Bumping the message from level-0 (critical) to level-1 (important and
major informational)

Regression Fix: Make Squid abort on parse failures.

The addition of multi-file parsing and catching of thrown errors between
them caused any errors in sub-files to be non-fatal and allow Squid to
run as if everything was normal, even if parts of the config were not
being loaded.

Squid will now propigate the error exception out and exit with a count of
the errors found.

The main() safety wrapper from 3.1 has also been ported to catch some
unwanted crashes.

Account for mem_node overhead inside cache_mem

This makes squid include the overhead memory space when determining the
number of data pages available in cache_mem memory space. Forming a much
better limit on memory cache usage.

This does NOT solve any issues created by sizeof(mem_node) being unaligned
with the system malloc implementation page size. That still needs to be
resolved.

Build issue after portages

Bug 2452: external_acl_type does not limit entries, leads to high memory usage

Set a nominal cap of 256*1024 entries per external_acl_type configured.
This can be adjusted as needed with the external_acl_type cache=N option.

Add client_ip_max_connections

Given some incentive after deep consideration of the slowloris claims.
While I still do not believe Squid is vulnerable per-se and some people
have tested and found no such failures as claimed for the DoS attack.

We found we could provide better administrative controls.  This is one such
that has been asked about many times and still did not exist. It operates
essentially the same as maxconn ACL, but does not require HTTP headers and
other request data to fully exist like ACLs do.

It is tested immediately after accept() and is request type agnostic, right
down to DNS TCP requests. So care is warranted in hierarchy situations or where
clients may be behind NAT.

Utilizes the client DB to monitor accepted TCP links. Operates prior to
everything so as to eliminate resource usage on the blocking case and
close the windows of opportunity for dribble-attacks etc.

Default (-1) is to keep the status-quo of no limits.

Handle DNS header-only packets as invalid.

Bootstrapped

Remove optional kerberos/spnegohelp/ library due to licensing issues

3.0.STABLE21

Prep for 3.0.STABLE21 pt 2

Prep for 3.0.STABLE21

ErrorState::BuildHttpReply does not exist in 3.0

Bug 2395: FTP errors not displayed

* Fix PUT and other errors hanging
* Fix assertion "entry->store_status == STORE_PENDING" caused by FTP
* Several variable-shadowing cases resolved for the fix.

Author: Jochen Voss <voss@seehuhn.de>
Fix failure to reset MD5 context buffer

Bug 2830: clarify where NULL byte is in headers.

Debug printing used to naturally stop string output at the null byte.

This should show the first segment of headers up to the NULL and the
segment of headers after it. So that its clear to admin that there are
more headers _after_ the portion that used to be logged.

Bootstrapped

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2155: Assertion failures on malformed Content-Range response headers

A number of conditions with malformed Content-Range headers were
not trapped properly triggering odd conditions in the code.

Author: Francesco Chemolli <kinkie@squid-cache.org>
Make huge-objects macro only test for GCC

Author: Francesco Chemolli <kinkie@squid-cache.org>
Fix more gcc-ism in CBDATA_DEBUG

Author: Francesco Chemolli <kinkie@squid-cache.org>
Fix Profiler gcc-ism: asm syntax is gcc-specific

Author: Francesco Chemolli <kinkie@squid-cache.org>
Dnsserver and resolver fixes.

A variable was not defined under certain autoconf-related conditions.

Send correct Connection: header on intercepted replies

Intercepted apps are expecting Connection: back from the server not our
default Proxy-Connection:

Author: Francesco Chemolli <kinkie@squid-cache.org>
Fixed linking convention mismatch in Asn ACL

Author: Francesco Chemolli <kinkie@squid-cache.org>
Bug 2778: fix linking issues using SunCC

SunCC doesn't handle inline extern functions, and misses some duplicate
code detection features gcc has; as a result squid-specific operator new and
operator delete get defined multiple times and fail linking.

 * Implemented a compiler-specific workaround by de-inlining the code.
 * Improved Solaris OS detection logic.

Author: Francesco Chemolli <kinkie@squid-cache.org>
Fixed and improved ACLTimeData::parse

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Improve %nn parser

3.0.STABLE20

Prep for 3.0.STABLE20

Author: Jakub Wilk <ubanus@users.sf.net>
Typo in squid.conf directiry/directory

Debian http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=550402

Author: Alex Rousskov <rousskov@measurement-factory.com>
Bug 2791: assertion failed: MemBuf.cc:400: new_cap > (size_t) capacity

Limit input buffer reads to the avilable space.

Author: Francesco Chemolli <kinkie@squid-cache.org>
Bug 2794: ESI parsing fails on FreeBSD

Fix bug in the ESI expression parser which prevented it from working properly on
non-glibc platforms.

Bootstrapped

Author: Alin Nastac <mrness@gentoo.org>
Cleanup: deprecate ugly hack for sys/capability.h

Needed once to prevent build clashes between libc and sys/capabilility.h
headers. As of libcap2 that is no longer the case and from 2.26 in fact
prevents a clean build.

Add detection for libcap to enable the hack only if actually needed.

Add --disable-caps option to disabke libcap and TPROXY2

Correct LINUX_CAPABILITY actions on non-Linux

non-Linux should not set transparency OFF, just because they dont have
Linux syscap.

Also kill bad use of goto. Should have been an if-else sequence.

Fix bracket omitted in rev9112

Bootstrapped

Fixed some issues uncovered by SunStudio CC.

Removed extra comma in enum which made SunStudio CC unhappy

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2773: Segfault in RFC2069 Digest authantication

Squid segfaulted if digest authentication is enabled an a client responded
with RFC2069 style response.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Split some asserts with side-effects

assert expressions should not have any noticeable sideffects or otherwise
be important for the program flow operation. If not unexpected results is
seen from compiling with -DNODEBUG

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Remove the suggesting hinting that one may end http_access with "allow all".

Just mentioning "deny all" is sufficient, and less risky..

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2768: squid_ldap_group argument parsing error

-K is a boolean argument and should not eat the next argument as data.

Bug 2722: http_port accel combined with CONNECT has bizarre behaviour

Bug 2735: Incomplete -fhuge-objects detection

Author: Henrik Nordstrom <hno@squid-cache.org>
Bug 2510: digest_ldap_auth uses incorrect logic with TLS

Fix segfault parsing cache_dir with IOEngine= set

Author: Luigi Gangitano <luigi@debian.org>
Bug 2779: Support GNU/kFreeBSD

Author: Peter Pramberger <peter@pramberger.at>
Bug 2761: Gopher and double HTTP response header

Author: Philippe Lantin <plantin@cobaltgroup.com>
Bug 2624: Invalid response for IMS request

Squid forgot to verify the client provided If-Modified-Since when
seeing a 304 from upstream.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Correct a mistyped asser usin = instead of ==

in this case completely harmless but still wrong..

3.0.STABLE19

Prep for 3.0.STABLE19