Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Associate external acl message with the request

this change associates external acl message with the request just as
is done with the log message, tags etc. Was in a global variable.

The old global variable is still there as a fallback, but can probably
be removed.

Author: Steve Snyder <swsnyder@snydernet.net>
Bug 2869: Remove unused external reference

Author: Diego Woitasen <diegows@xtech.com.ar>
Bug 2507: squid_ldap_group: Strip Domain name separated by +

Bug 2787: unknown/unexpected status code messages

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2813: Random unix_group crash at startup due to uninitialized pointer reference

The group array was not properly initialized.

This patch also removes the limitation of 10 groups.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Migrate various IpAddress internal constants to private static members

Correct IPv4-mapped prefix, broken in rev 9865 Use POSIX tests for IPv6 address detections.

Author: Adam Ciarcinski
Bug 2866: Support OpenSSL 1.0

Port of patches provided by Adam Ciarcinski to fix build issues with
recent versions of OpenSSL in Apache on NetBSD.

3.1.0.17

Prep for 3.1.0.17

Correct FAQ link

Bug 2616: reduce IdleConnList::removeFD messages

Author: Joao Alves Neto <alves_joao@hotmail.com>
NTLMv2 support for fake NTLM helper.

Author: Henrik Nordstrom <hno@squid-cache.org>
Clean up use of httpReplySetHeaders to be consistent across the code.

... and remove the unneeded http_version argument.

Ported from 2.7

HttpRequest uses GetHost in 3.1

Prep for 3.0.STABLE24

Author: Various Translators
Error Page Language Updates

Remove tidyHtml from the template generation tools.

While nice, It introduces several problems:

* any syntax errors at all in the translation text causes a blank
  translated text file to be produced. Without any error code.

* automatically downgrades the HTML content-type meta to "us-ascii"
  despite the input and output both actually being UTF-8

* added dependency for building.

It's now used automatically by the translate toolkit from 1.5.0 so
needs to be expicitly disabled when present.

Add adapted_http_access option. Port of http_access2 from Squid-2

Author: Jean-Gabriel Dick <jean-gabriel.dick@curie.fr>
Bug 1843: multicast-siblings cache_peer option for optimising multicast ICP relations

'multicast-siblings' : this option is meant to be used only for cache peers of
type "multicast". It instructs Squid that ALL members of this multicast group
have "sibling" relationship with it, not "parent".  This is an optimization
that avoids useless multicast queries to a multicast group when the requested
object would be fetched only from a "parent" cache, anyway.  It's useful, e.g.,
when configuring a pool of redundant Squid proxies, being members of the same
multicast group.

Author: James Brotchie <brotchie@gmail.com>
Port of X509 certificate alias-domain handling from 2.7.

Typo in rev9881

Author: Kieran Whitbread <k.j.whitbread@qmul.ac.uk>
Bug 2858: Segment violation in HTCP

Author: Markus Moeller <huaraz@moeller.plus.com>
squid_kerb_auth logging clarification

add ERROR, WARNING, etc to the logging messages.

Prep for 3.0.STABLE23

Author: Frank Schmirler <squid@schmirler.de>
Bug 2854: assertion failed: peer_select.cc:627

Peer logging strong omitted from bug 2851 patch port.

pam_auth SQUID_SOLARIS ifdef incomplete

pam_auth in 3.1 is C not C++

3.1.0.16

Prep for 3.1.0.16

Prep for 3.0.STABLE22

Author: Marko <mr_4u2@yahoo.com>
Bug 2496: Downloading some variants in full before relaying

AKA, assertion failed: comm.cc:115: "ccb->active == false"
if the client disconnected before download finished arriving.

Author: Graham Keeling <graham@equiinet.com>
WCCPv1 not connecting to router correctly

I am coming across a problem with WCCPv1...

squid-2.5 connects to UDP port 2048, I get replies, and everything else then works.

squid-3.1 looks like it is trying to connect to UDP port 0 on the cisco.
[and fails to work]

I have looked at the src/wccp.c for squid-2.5, and it is clear that the port is
being set to 2048 for the connection to the router.
I have also looked at the source for 2.6, 2.7 and 3.0 (src/wccp.cc for this
version).
In all those, it appears to be setting the port on the outgoing connection.

However, in the 3.1 source, it doesn't.

Author: Alex Rousskov <rousskov@measurement-factory.com>
Polished %>ha description.

Author: Frank Schmirler <squid@schmirler.de>
Bug 2851: Connection pinning fails when using a peer

Author: Christos Tsantilas <chtsanti@users.sourceforge.net>
Add the http::>ha format code and make http::>h log original request headers

This patch:
 - Modify the existin "http::>h format code to log HTTP request headers
   before any adaptation and redirection
 - Add the new format code "http::>ha" which allow the user to log HTTP
   request header or header fields after adaptation and redirection.

This is a Measurement Factory project.

Author: Frank Schmirler <squid@schmirler.de>
Bug 2850: Mismatch in hier_code enum / hier_strings array

Display cache_peer name option in CacheMgr config

Author: Michael van Elst
Use POSIX tests for IPv6 address detections.

Bug 2553: X-Forwarded-For with IPv6 address not handled correctly

Also, remove the port from consideration. It is meaningless on indirect
client address.

Fix build errors when XFF compounds with other features

Some squid.conf options require XFF and other component wrappers to build
properly.

This fixes ICAP and Delay Pools clash which appeared in testing. Other
multiple-component wrapping can be done in identical fashion

Author: Wolfgang Nothdurft <wolfgang@linogate.de>
Bug 2731: Add follow_x_forwarded_for support to ICAP

Pass the indirect client address to the ICAP server using X-Client-IP.

Author: Wolfgang Nothdurft <wolfgang@linogate.de>
Bug 2730: Regressions in follow_x_forwarded_for since Squid-2

Two Major Regressions:

* Omitted testing for trust of the directly connecting client.
  this is critical is trusting the header content itself.
  The absence permitted remote clients to forge X-Forwarded-For
  and gain access to resources through Squid.
  (mitigated by the following)

* Bad logic in implementing the trust model resulted in any XFF
  headers containing untrusted IPs to be dropped in their entirety.
  This resulted in clients transiting more than one proxy heirarchy to
  be incorrectly logged and reported in the second.

Some polish alterations to the existing logics:

* Testing the direct client address for trust means the testing must be
  fully async 'slow'. Thus avoiding the memory leaks found on occasion.

 * acl_uses_indirect_client is not strictly needed to test multiple levels
  of X-Forwarded-For properly. The entire list of IPs are now always
  tested until an untrusted is found or an ACL failure occurs.

More portable rfc1035 unit test

Add warnings explaining Invalid Response errors generated by Squid

Doc update on http_port tproxy

Bump AIO debug sync message down a level

Limit language negotiation to bundled error pages

updated release notes. Remove windows-only section

Bug 2601: pt 2: Mixed v4/v6 src acl leads to TCP_DENIED

 - Remove 'odd' netmask support from ACL.
 - Fully deprecate netmask support for ACL.

Earlier fix caused inconsistent handling between IPv4 and IPv6 builds of
Squid. Which has turned out to be a bad idea.
This fixes that by 'breaking' both build alternatives.

see also bug 2141 for long-term tracker.

Handle DNS header-only packets as invalid.

Bug 2811: SNMP client table renumbering

Bump the client table to version 2 for new IP address formatting.

* Also polishes the OID debug display a little bit.

Fix build errors in PAM auth on Linux

Author: Francesco Chemolli <kinkie@squid-cache.org>
Skip performing C libTrie unit tests

Reduce non-IP debugs message priority

Revert Typo in cachemgr.cc update

Various pointer and syntax errors.

Uncovered by Pawel Worach using clang static analysis tool.

Fixes:
 * several NULL pointer dereferences
 * several unused variable return saves
 * a parentheses typo

Add client_ip_max_connections

Given some incentive after deep consideration of the slowloris claims.
While I still do not believe Squid is vulnerable per-se and some people
have tested and found no such failures as claimed for the DoS attack.

We found we could provide better administrative controls.  This is one such
that has been asked about many times and still did not exist. It operates
essentially the same as maxconn ACL, but does not require HTTP headers and
other request data to fully exist like ACLs do.

It is tested immediately after accept() and is request type agnostic, right
down to DNS TCP requests. So care is warranted in hierarchy situations or where
clients may be behind NAT.

Utilizes the client DB to monitor accepted TCP links. Operates prior to
everything so as to eliminate resource usage on the blocking case and
close the windows of opportunity for dribble-attacks etc.

Default (-1) is to keep the status-quo of no limits.

Bug 2452: external_acl_type does not limit entries, leads to high memory usage

Set a nominal cap of 256*1024 entries per external_acl_type configured.
This can be adjusted as needed with the external_acl_type cache=N option.

Detatch status code enum from enums.h

Bug 2787: pt 1: unexpected http status code messages

Bumping the message from level-0 (critical) to level-1 (important and
major informational)

Author: Matthew Morgan <atcs.matthew@gmail.com>
Incorrect function names in aclParseAclList debugging output.

SourceFormat: do forced removal of stuck *.astylebak files

Fix SetTproxy2OutgoingAddr definition error

Regression Fix: Make Squid abort on parse failures.

The addition of multi-file parsing and catching of thrown errors between
them caused any errors in sub-files to be non-fatal and allow Squid to
run as if everything was normal, even if parts of the config were not
being loaded.

Squid will now propigate the error exception out and exit with a count of
the errors found.

Bug 2811: pt 1: Correct Peer table OID numbering

The IPv6 alterations to the cache_peer table display should not have
altered existing OID numbers. This fixes that by bumping the new table
format to a new OID number .1.3.6.1.4.1.3495.1.5.1.3 for version 3 of the
table.

NP: version 1 of the table was in 2.0->2.5, and 3.0
    version 2 of the table was in 2.6+

Author: Adrian Chadd <adri@squid-cache.org>
Polish SNMP tree generator.

Alters the OID tree creation such that OID are easier for code developers
to manage.

Ported from Squid-2 patch (only applied to Lusca) by Amos Jeffries.

Cleanup: use libtool/libtdl default location

It is simpler to use the default libltdl location than hiding libtool
away in our custom directory and requiring a bootstrap to set it up.

Remove obsolete RunCache/RunAccel scripts.

RunCache and RunAccel have been obsolete since squid-2.6 parent/child
auto-restart feature was included in the main code.

Account for mem_node overhead inside cache_mem

This makes squid include the overhead memory space when determining the
number of data pages available in cache_mem memory space. Forming a much
better limit on memory cache usage.

This does NOT solve any issues created by sizeof(mem_node) being unaligned
with the system malloc implementation page size. That still needs to be
resolved.

Fix Kerberos build errors on FreeBSD

Docs: dstdomain is a 'FAST' group ACL.

Remove optional kerberos/spnegohelp/ library due to licensing issues

Prep for 3.0.STABLE21

Author: Alex Rousskov <rousskov@measurement-factory.com>
Remove the following ./configure warnings:

  conftest.cpp:34:1: warning: "USE_DISKIO_AIO" redefined
  conftest.cpp:35:1: warning: "USE_DISKIO_DISKTHREADS" redefined

The patch allows Squid v3.1 to build on RHEL 5.4 which has autoconf v2.59.
Without the patch, USE_DISKIO_AIO is zero but the corresponding AIO files
are compiled, leading to errors. I do not know if other platforms are
affected.

Fix type-punned pointer in forwarding

Author: Alex Rousskov <rousskov@measurement-factory.com>
Set timestamps for newly created store entry during ICAP request satisfaction.

If the ICAP-generated response lacks the HTTP Date header, and we do not call
timestampsSet(), Squid says:

WARNING: An error inside Squid has caused an HTTP reply without Date:.

Bug 2395: FTP errors not displayed

* Fix PUT and other errors hanging
* Fix assertion "entry->store_status == STORE_PENDING" caused by FTP
* Several variable-shadowing cases resolved for the fix.

Author: Jochen Voss <voss@seehuhn.de>
Fix failure to reset MD5 context buffer

Shuffle simple math functions into SquidMath

This unlinks many depencies pulled in by tools.cc through the more
complicated permissions, and death reporting code.

Bug 2830: clarify where NULL byte is in headers.

Debug printing used to naturally stop string output at the null byte.

This should show the first segment of headers up to the NULL and the
segment of headers after it. So that its clear to admin that there are
more headers _after_ the portion that used to be logged.

Bandaid: pass ICY to/from eCAP.

This fixes build complaints in Squid between ICY and eCAP.
eCAP itself does not support the underying changes as yet.

Revert rev.9820

Remove libstdc++ from libTrie C object builds

Author: Francesco Chemolli <kinkie@squid-cache.org>
Fixed fhuge-objects detection in libTrie

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2155: Assertion failures on malformed Content-Range response headers

A number of conditions with malformed Content-Range headers were
not trapped properly triggering odd conditions in the code.

Author: Francesco Chemolli <kinkie@squid-cache.org>
Fixed some variable shadowing.

Fix detection of obsolete 'all' patterns

A little bit overly enthusiastic on the additions...
 * 0.0.0.0 is a /32 not /0
 * 0->N is 'all', not 0->0

Un-polish the huge-objects tests.

It was a bad idea before porting down.

3.1.0.15

Prep 3.1.0.15

Author: Various Translators
Language Updates

SourceFormat Enforcement

Polish ACL src/dst magic monikers and push upgrading to 'all'.

* Adds 'ipv4' magic moniker. Slightly safer and friendlier than !ipv6

* Updates the IP range parse to detect several old broken cases of 'all'.
  Warn loudly and replace with 'all' during parse.
  This is needed for all the people who use the 'all' pattern for special
  purposes under another name; auth hiding, deny_info redirects, etc.

Convert Common.am snippet from @ variable style.

Author: Francesco Chemolli <kinkie@squid-cache.org>
Make huge-objects macro only test for GCC

Author: Francesco Chemolli <kinkie@squid-cache.org>
Remove gcc-ism in adaptation.

globals do not need to be declared extern in the .cc

Author: Francesco Chemolli <kinkie@squid-cache.org>
Fix more gcc-ism in CBDATA_DEBUG

Author: Francesco Chemolli <kinkie@squid-cache.org>
Fix testheaders.sh to work with non-gcc compilers. build a true executable.

FreeBSD for some reason some times do not like our big cf.data script

Split in multiple expressions specified by -e arguments. Seems to work better.

The large blob had a bit of extra space characters in it from the line folding
which seems to be related to the failure. (each command began with a space)