Default pinger OFF

The pinger install is still done without the special permissions needed.
So the pinger will fail to run in most setups. Will turn this on again
in a later release when the pinger is actually installed properly by
default.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Drop ufsdump from default builds.

As reported some weeks ago ufsdump fails to link on the upcoming Fedora
13 release due to linking issues, and as reported by Amos the same
linking issues is now also seen on Debian since somewhere between March
2 - 5.

While investigating this I found the following conclusions

- We are not actually installing ufsdump
- The dependencies between the Squid libraries are very non-obvious,
with libraries depending on plain object files and other strange things.
- The ufsdump linkage issues is somehow triggered by the libraries
including objects needing symbols from objects not included in that link
- Those failing library objects are not actually needed by ufsdump.
Linking succeeds if repeatedly removing each reported failing object
from the squid libraries.
- If the libraries were shared libraries then linking would fail on all
systems

The issue have been identified, or actually two separate issues. What is
yet unclear is what is the proper solution..

- Inline operator overloading causing indeterministic linkage,
resulting in seemingly unneeded sub modules being pulled in "at random".
Most notably this is seen with our custom new operation (which btw is
duplicated in two places: src/SquidNew.cc and include/SquidNew.h)

- The current Squid libraries have very unclear dependencies with no
  clean boundaries, resulting in linking failure when the above happens..

Bug 2873: undefined symbol rint

Detect math library properly based on rint synbol we need.

3.1.0.18

Prep for 3.1.0.18

Prep for 3.0.STABLE25

Bug 412: Send HTTP/1.1 to servers and peers

Building on a lot of work by a very great many people over eight years.
Thank you very, very much to everyone who made this possible.

Author: Various Translators
Error page language updates

 * Serbian language updated and split into Cyrillic and Latin alphabets.
 * Update all to include new templates content.

SourceFormat Enforcement

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Various other Digest parser fixes

* Correct debug message when failing to parse digest attributes
* Correct digest stale=false in POST workaround code
* Fix new digest parser shutdown code when digest auth not configured
* Sanity check of the username.
  " cannot be allowed in usernames until the digest helper protocol
  has been redone

Author: Francesco Chemolli <kinkie@squid-cache.org>
Bump the debug-level of one cache manager related message

SourceFormat Enforcement

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Improve coding style of digest parser somewhat so it's easier to follow

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Correct quoted-string parser. Got differently broken in digest parser fix.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2367: Fix stale=true on digest requests with unknown nonce

The nonce staleness check only worked if the stale nonce had not yet
been garbage collected, often resulting in incorrect stale=false
responses and resulting auth popups when using digest auth.

Note: this fix is different from how it's done in squid-2 where fixHeader
is called on all schemes in such conditions but only the active one with
and auth_user_request. Not entirely sure why that is done, but commit
message says something about Negotiate authentication.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2845: Rework the http digest auth parser

- Validate sanity of digest messages
- Properly parse quoted strings

Send HTTP1.1 compliant 417 responses

Port of the 417 response handling and associated ignore_expect_100
from Squid 2.7.

Author: Henrik Nordstrom <hno@squid-cache.org>
Swallow 1xx status messages

Ported from 2.7. This makes Squid swallow 1xx replies from 1.1 servers
safely without breaking the clients connection.

Raised some noncritical debug messages' debug-level.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Associate external acl message with the request

this change associates external acl message with the request just as
is done with the log message, tags etc. Was in a global variable.

The old global variable is still there as a fallback, but can probably
be removed.

Author: Steve Snyder <swsnyder@snydernet.net>
Bug 2869: Remove unused external reference

Author: Diego Woitasen <diegows@xtech.com.ar>
Bug 2507: squid_ldap_group: Strip Domain name separated by +

Bug 2787: unknown/unexpected status code messages

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2813: Random unix_group crash at startup due to uninitialized pointer reference

The group array was not properly initialized.

This patch also removes the limitation of 10 groups.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Migrate various IpAddress internal constants to private static members

Correct IPv4-mapped prefix, broken in rev 9865 Use POSIX tests for IPv6 address detections.

Author: Adam Ciarcinski
Bug 2866: Support OpenSSL 1.0

Port of patches provided by Adam Ciarcinski to fix build issues with
recent versions of OpenSSL in Apache on NetBSD.

3.1.0.17

Prep for 3.1.0.17

Correct FAQ link

Bug 2616: reduce IdleConnList::removeFD messages

Author: Joao Alves Neto <alves_joao@hotmail.com>
NTLMv2 support for fake NTLM helper.

Author: Henrik Nordstrom <hno@squid-cache.org>
Clean up use of httpReplySetHeaders to be consistent across the code.

... and remove the unneeded http_version argument.

Ported from 2.7

HttpRequest uses GetHost in 3.1

Prep for 3.0.STABLE24

Author: Various Translators
Error Page Language Updates

Remove tidyHtml from the template generation tools.

While nice, It introduces several problems:

* any syntax errors at all in the translation text causes a blank
  translated text file to be produced. Without any error code.

* automatically downgrades the HTML content-type meta to "us-ascii"
  despite the input and output both actually being UTF-8

* added dependency for building.

It's now used automatically by the translate toolkit from 1.5.0 so
needs to be expicitly disabled when present.

Add adapted_http_access option. Port of http_access2 from Squid-2

Author: Jean-Gabriel Dick <jean-gabriel.dick@curie.fr>
Bug 1843: multicast-siblings cache_peer option for optimising multicast ICP relations

'multicast-siblings' : this option is meant to be used only for cache peers of
type "multicast". It instructs Squid that ALL members of this multicast group
have "sibling" relationship with it, not "parent".  This is an optimization
that avoids useless multicast queries to a multicast group when the requested
object would be fetched only from a "parent" cache, anyway.  It's useful, e.g.,
when configuring a pool of redundant Squid proxies, being members of the same
multicast group.

Author: James Brotchie <brotchie@gmail.com>
Port of X509 certificate alias-domain handling from 2.7.

Typo in rev9881

Author: Kieran Whitbread <k.j.whitbread@qmul.ac.uk>
Bug 2858: Segment violation in HTCP

Author: Markus Moeller <huaraz@moeller.plus.com>
squid_kerb_auth logging clarification

add ERROR, WARNING, etc to the logging messages.

Prep for 3.0.STABLE23

Author: Frank Schmirler <squid@schmirler.de>
Bug 2854: assertion failed: peer_select.cc:627

Peer logging strong omitted from bug 2851 patch port.

pam_auth SQUID_SOLARIS ifdef incomplete

pam_auth in 3.1 is C not C++

3.1.0.16

Prep for 3.1.0.16

Prep for 3.0.STABLE22

Author: Marko <mr_4u2@yahoo.com>
Bug 2496: Downloading some variants in full before relaying

AKA, assertion failed: comm.cc:115: "ccb->active == false"
if the client disconnected before download finished arriving.

Author: Graham Keeling <graham@equiinet.com>
WCCPv1 not connecting to router correctly

I am coming across a problem with WCCPv1...

squid-2.5 connects to UDP port 2048, I get replies, and everything else then works.

squid-3.1 looks like it is trying to connect to UDP port 0 on the cisco.
[and fails to work]

I have looked at the src/wccp.c for squid-2.5, and it is clear that the port is
being set to 2048 for the connection to the router.
I have also looked at the source for 2.6, 2.7 and 3.0 (src/wccp.cc for this
version).
In all those, it appears to be setting the port on the outgoing connection.

However, in the 3.1 source, it doesn't.

Author: Alex Rousskov <rousskov@measurement-factory.com>
Polished %>ha description.

Author: Frank Schmirler <squid@schmirler.de>
Bug 2851: Connection pinning fails when using a peer

Author: Christos Tsantilas <chtsanti@users.sourceforge.net>
Add the http::>ha format code and make http::>h log original request headers

This patch:
 - Modify the existin "http::>h format code to log HTTP request headers
   before any adaptation and redirection
 - Add the new format code "http::>ha" which allow the user to log HTTP
   request header or header fields after adaptation and redirection.

This is a Measurement Factory project.

Author: Frank Schmirler <squid@schmirler.de>
Bug 2850: Mismatch in hier_code enum / hier_strings array

Display cache_peer name option in CacheMgr config

Author: Michael van Elst
Use POSIX tests for IPv6 address detections.

Bug 2553: X-Forwarded-For with IPv6 address not handled correctly

Also, remove the port from consideration. It is meaningless on indirect
client address.

Fix build errors when XFF compounds with other features

Some squid.conf options require XFF and other component wrappers to build
properly.

This fixes ICAP and Delay Pools clash which appeared in testing. Other
multiple-component wrapping can be done in identical fashion

Author: Wolfgang Nothdurft <wolfgang@linogate.de>
Bug 2731: Add follow_x_forwarded_for support to ICAP

Pass the indirect client address to the ICAP server using X-Client-IP.

Author: Wolfgang Nothdurft <wolfgang@linogate.de>
Bug 2730: Regressions in follow_x_forwarded_for since Squid-2

Two Major Regressions:

* Omitted testing for trust of the directly connecting client.
  this is critical is trusting the header content itself.
  The absence permitted remote clients to forge X-Forwarded-For
  and gain access to resources through Squid.
  (mitigated by the following)

* Bad logic in implementing the trust model resulted in any XFF
  headers containing untrusted IPs to be dropped in their entirety.
  This resulted in clients transiting more than one proxy heirarchy to
  be incorrectly logged and reported in the second.

Some polish alterations to the existing logics:

* Testing the direct client address for trust means the testing must be
  fully async 'slow'. Thus avoiding the memory leaks found on occasion.

 * acl_uses_indirect_client is not strictly needed to test multiple levels
  of X-Forwarded-For properly. The entire list of IPs are now always
  tested until an untrusted is found or an ACL failure occurs.

More portable rfc1035 unit test

Add warnings explaining Invalid Response errors generated by Squid

Doc update on http_port tproxy

Bump AIO debug sync message down a level

Limit language negotiation to bundled error pages

updated release notes. Remove windows-only section

Bug 2601: pt 2: Mixed v4/v6 src acl leads to TCP_DENIED

 - Remove 'odd' netmask support from ACL.
 - Fully deprecate netmask support for ACL.

Earlier fix caused inconsistent handling between IPv4 and IPv6 builds of
Squid. Which has turned out to be a bad idea.
This fixes that by 'breaking' both build alternatives.

see also bug 2141 for long-term tracker.

Handle DNS header-only packets as invalid.

Bug 2811: SNMP client table renumbering

Bump the client table to version 2 for new IP address formatting.

* Also polishes the OID debug display a little bit.

Fix build errors in PAM auth on Linux

Author: Francesco Chemolli <kinkie@squid-cache.org>
Skip performing C libTrie unit tests

Reduce non-IP debugs message priority

Revert Typo in cachemgr.cc update

Various pointer and syntax errors.

Uncovered by Pawel Worach using clang static analysis tool.

Fixes:
 * several NULL pointer dereferences
 * several unused variable return saves
 * a parentheses typo

Add client_ip_max_connections

Given some incentive after deep consideration of the slowloris claims.
While I still do not believe Squid is vulnerable per-se and some people
have tested and found no such failures as claimed for the DoS attack.

We found we could provide better administrative controls.  This is one such
that has been asked about many times and still did not exist. It operates
essentially the same as maxconn ACL, but does not require HTTP headers and
other request data to fully exist like ACLs do.

It is tested immediately after accept() and is request type agnostic, right
down to DNS TCP requests. So care is warranted in hierarchy situations or where
clients may be behind NAT.

Utilizes the client DB to monitor accepted TCP links. Operates prior to
everything so as to eliminate resource usage on the blocking case and
close the windows of opportunity for dribble-attacks etc.

Default (-1) is to keep the status-quo of no limits.

Bug 2452: external_acl_type does not limit entries, leads to high memory usage

Set a nominal cap of 256*1024 entries per external_acl_type configured.
This can be adjusted as needed with the external_acl_type cache=N option.

Detatch status code enum from enums.h

Bug 2787: pt 1: unexpected http status code messages

Bumping the message from level-0 (critical) to level-1 (important and
major informational)

Author: Matthew Morgan <atcs.matthew@gmail.com>
Incorrect function names in aclParseAclList debugging output.

SourceFormat: do forced removal of stuck *.astylebak files

Fix SetTproxy2OutgoingAddr definition error

Regression Fix: Make Squid abort on parse failures.

The addition of multi-file parsing and catching of thrown errors between
them caused any errors in sub-files to be non-fatal and allow Squid to
run as if everything was normal, even if parts of the config were not
being loaded.

Squid will now propigate the error exception out and exit with a count of
the errors found.

Bug 2811: pt 1: Correct Peer table OID numbering

The IPv6 alterations to the cache_peer table display should not have
altered existing OID numbers. This fixes that by bumping the new table
format to a new OID number .1.3.6.1.4.1.3495.1.5.1.3 for version 3 of the
table.

NP: version 1 of the table was in 2.0->2.5, and 3.0
    version 2 of the table was in 2.6+

Author: Adrian Chadd <adri@squid-cache.org>
Polish SNMP tree generator.

Alters the OID tree creation such that OID are easier for code developers
to manage.

Ported from Squid-2 patch (only applied to Lusca) by Amos Jeffries.

Cleanup: use libtool/libtdl default location

It is simpler to use the default libltdl location than hiding libtool
away in our custom directory and requiring a bootstrap to set it up.

Remove obsolete RunCache/RunAccel scripts.

RunCache and RunAccel have been obsolete since squid-2.6 parent/child
auto-restart feature was included in the main code.

Account for mem_node overhead inside cache_mem

This makes squid include the overhead memory space when determining the
number of data pages available in cache_mem memory space. Forming a much
better limit on memory cache usage.

This does NOT solve any issues created by sizeof(mem_node) being unaligned
with the system malloc implementation page size. That still needs to be
resolved.

Fix Kerberos build errors on FreeBSD

Docs: dstdomain is a 'FAST' group ACL.

Remove optional kerberos/spnegohelp/ library due to licensing issues

Prep for 3.0.STABLE21

Author: Alex Rousskov <rousskov@measurement-factory.com>
Remove the following ./configure warnings:

  conftest.cpp:34:1: warning: "USE_DISKIO_AIO" redefined
  conftest.cpp:35:1: warning: "USE_DISKIO_DISKTHREADS" redefined

The patch allows Squid v3.1 to build on RHEL 5.4 which has autoconf v2.59.
Without the patch, USE_DISKIO_AIO is zero but the corresponding AIO files
are compiled, leading to errors. I do not know if other platforms are
affected.

Fix type-punned pointer in forwarding

Author: Alex Rousskov <rousskov@measurement-factory.com>
Set timestamps for newly created store entry during ICAP request satisfaction.

If the ICAP-generated response lacks the HTTP Date header, and we do not call
timestampsSet(), Squid says:

WARNING: An error inside Squid has caused an HTTP reply without Date:.

Bug 2395: FTP errors not displayed

* Fix PUT and other errors hanging
* Fix assertion "entry->store_status == STORE_PENDING" caused by FTP
* Several variable-shadowing cases resolved for the fix.

Author: Jochen Voss <voss@seehuhn.de>
Fix failure to reset MD5 context buffer

Shuffle simple math functions into SquidMath

This unlinks many depencies pulled in by tools.cc through the more
complicated permissions, and death reporting code.

Bug 2830: clarify where NULL byte is in headers.

Debug printing used to naturally stop string output at the null byte.

This should show the first segment of headers up to the NULL and the
segment of headers after it. So that its clear to admin that there are
more headers _after_ the portion that used to be logged.