Update RSS feed for the 3.0.33 releases

Debian: Merge 3.0.32 release and prepare 3.0.33 GIT snapshot.

Update the announcement for Privoxy 3.0.32 stable

Rebuild user manual

Mention zlib in the 'Third-party licenses and copyrights' section

Regenerate config file

Rebuild documentation with updated changelog

Import changes for Privoxy 3.0.32 stable

Bump copyright

Update ChangeLog

user-manual: Add 'Third-party licenses and copyrights' section

Add #198: Add a config directive that prevent's IP addresses from being logged

Obsolete pcre: Prevent invalid memory accesses

... with an invalid pattern passed to pcre_compile().

   ==22377== Invalid write of size 1
   ==22377==    at 0x466E37: compile_branch (pcre.c:2001)
   ==22377==    by 0x45FA64: compile_regex (pcre.c:2164)
   ==22377==    by 0x45EE77: pcre_compile (pcre.c:3077)
   ==22377==    by 0x467B6D: regcomp (pcreposix.c:206)
   ==22377==    by 0x456FFF: compile_pattern (urlmatch.c:667)
   ==22377==    by 0x4571F3: compile_url_pattern (urlmatch.c:752)
   ==22377==    by 0x456E46: create_pattern_spec (urlmatch.c:1243)
   ==22377==    by 0x4241DF: get_url_spec_param (cgiedit.c:1870)
   ==22377==    by 0x42448D: cgi_edit_actions_add_url (cgiedit.c:3587)
   ==22377==    by 0x40FCE9: dispatch_known_cgi (cgi.c:588)
   ==22377==    by 0x40FA7A: dispatch_cgi (cgi.c:383)
   ==22377==    by 0x43C511: crunch_response_triggered (jcc.c:920)
   ==22377==  Address 0x7177469 is 4 bytes after a block of size 1,125 alloc'd
   ==22377==    at 0x4C26A44: malloc (in /usr/local/lib/valgrind/vgpreload_memcheck-amd64-freebsd.so)
   ==22377==    by 0x45ED5C: pcre_compile (pcre.c:3054)
   ==22377==    by 0x467B6D: regcomp (pcreposix.c:206)
   ==22377==    by 0x456FFF: compile_pattern (urlmatch.c:667)
   ==22377==    by 0x4571F3: compile_url_pattern (urlmatch.c:752)
   ==22377==    by 0x456E46: create_pattern_spec (urlmatch.c:1243)
   ==22377==    by 0x4241DF: get_url_spec_param (cgiedit.c:1870)
   ==22377==    by 0x42448D: cgi_edit_actions_add_url (cgiedit.c:3587)
   ==22377==    by 0x40FCE9: dispatch_known_cgi (cgi.c:588)
   ==22377==    by 0x40FA7A: dispatch_cgi (cgi.c:383)
   ==22377==    by 0x43C511: crunch_response_triggered (jcc.c:920)
   ==22377==    by 0x43ADDB: chat (jcc.c:4241)

   ==22377== Invalid read of size 1
   ==22377==    at 0x466FCC: compile_branch (pcre.c:2053)
   ==22377==    by 0x45FA64: compile_regex (pcre.c:2164)
   ==22377==    by 0x45EE77: pcre_compile (pcre.c:3077)
   ==22377==    by 0x467B6D: regcomp (pcreposix.c:206)
   ==22377==    by 0x456FFF: compile_pattern (urlmatch.c:667)
   ==22377==    by 0x4571F3: compile_url_pattern (urlmatch.c:752)
   ==22377==    by 0x456E46: create_pattern_spec (urlmatch.c:1243)
   ==22377==    by 0x4241DF: get_url_spec_param (cgiedit.c:1870)
   ==22377==    by 0x42448D: cgi_edit_actions_add_url (cgiedit.c:3587)
   ==22377==    by 0x40FCE9: dispatch_known_cgi (cgi.c:588)
   ==22377==    by 0x40FA7A: dispatch_cgi (cgi.c:383)
   ==22377==    by 0x43C511: crunch_response_triggered (jcc.c:920)
   ==22377==  Address 0x7176fb1 is 0 bytes after a block of size 1,057 alloc'd
   ==22377==    at 0x4C26A44: malloc (in /usr/local/lib/valgrind/vgpreload_memcheck-amd64-freebsd.so)
   ==22377==    by 0x44C3F0: malloc_or_die (miscutil.c:194)
   ==22377==    by 0x456FBB: compile_pattern (urlmatch.c:662)
   ==22377==    by 0x4571F3: compile_url_pattern (urlmatch.c:752)
   ==22377==    by 0x456E46: create_pattern_spec (urlmatch.c:1243)
   ==22377==    by 0x4241DF: get_url_spec_param (cgiedit.c:1870)
   ==22377==    by 0x42448D: cgi_edit_actions_add_url (cgiedit.c:3587)
   ==22377==    by 0x40FCE9: dispatch_known_cgi (cgi.c:588)
   ==22377==    by 0x40FA7A: dispatch_cgi (cgi.c:383)
   ==22377==    by 0x43C511: crunch_response_triggered (jcc.c:920)
   ==22377==    by 0x43ADDB: chat (jcc.c:4241)
   ==22377==    by 0x439DA5: serve (jcc.c:4778)

OVE-20210222-0001.

pcre 8.44 does not seem to be affected.

Reported by: Joshua Rogers (Opera)

socks5_connect(): Don't try to send credentials when none are configured

Fixes a crash due to a NULL-pointer dereference when
the socks server misbehaves.

OVE-20210207-0001.

Reported by: Joshua Rogers (Opera)

cgi_send_banner(): Overrule invalid image types

Prevents a crash with a crafted CGI request if
Privoxy is toggled off.

OVE-20210206-0001.

Reported by: Joshua Rogers (Opera)

chunked_body_is_complete(): Prevent invalid read of size two

OVE-20210205-0001.

Reported by: Joshua Rogers (Opera)

ssplit(): Remove an assertion

... that could be triggered with a crafted CGI request.

This reverts dc4e311bcf.

OVE-20210203-0001.

Reported by: Joshua Rogers (Opera)

Rebuild HTML man page for 3.0.32 stable

Rebuild docs for 3.0.32 stable

Rebuild man page

Bump SMGL entities for 3.0.32 stable

contacting: Bump copyright

OpenSSL ssl_store_cert(): Remove a superfluous space before the serial number

privoxy-log-parser: Clarify the --statistics ouput

The shown "Reused connections" are server connections so
name them appropriately.

configure: Bump SOURCE_DATE_EPOCH

Declare Privoxy 3.0.32 stable

privoxy-log-parser: Bump version to 0.9.3

Add ChangeLog entries for Changes between v_3_0_31 and f018685d6

contacting: Clarify that 'debug 32768' should be used in addition to the other debug directives

Add #197: Investigate if parts of Privoxy should get optional replacements written in Rust

decompress_iob(): Prevent reading of uninitialized data

Reported by: Joshua Rogers (Opera).

decompress_iob(): Don't advance cur past eod

... when looking for the end of the file name and comment.

I could not come up with a test case where the previous
behaviour resulted in reading of uninitialized data but
advancing past eod still seems wrong.

decompress_iob(): Cast value to unsigned char before shifting

Prevents a left-shift of a negative value which is undefined behavior.

Reported by: Joshua Rogers (Opera)

gif_deanimate(): Confirm that that we have enough data

... before doing any work.

Fixes a crash when fuzzing with an empty document.

Reported by: Joshua Rogers (Opera).

gif_deanimate(): Confirm we've got an image before trying to write it

Saves a pointless buf_copy() call.

buf_copy(): Fail if there's no data to write or nothing to do

Prevents undefined behaviour "applying zero offset to null pointer".

Reported by: Joshua Rogers (Opera)

Bump copyright

Convert GIF spec URL to https

privoxy-log-parser: Higlight 'Dropping the client connection on socket 23 with server socket 24 connected to reddit.com. The forwarder has changed.'

configure.in: Add warning that the obsolete pcre code is scheduled to be removed before the 3.0.33 release

Disable fast-redirects for .golem.de/

Adjust a couple of asterisks

Declare save_connection_destination() static

OpenSSL ssl_base64_encode(): Remove superfluous space

OpenSSL: Fix white-space

load_config(): Properly parse the client-tag-lifetime directive

Previously it was not accepted as an obsolete hash value was
being used.

Reported by: Joshua Rogers (Opera)

Respect DESTDIR when considering whether or not to install config files

... with ".new" extension.

Bump copyright on the homepage

Make the second pcrs job of the img-reorder filter greedy again

The ungreedy version caused breakage like:
-<img width=888 height=573 src=socket.png>
+<img src=s width=888 height=573ocket.png>
on http://bulk.fefe.de/scalability/.

Add #196: Investigate if it's worth adding an optional mutex for the CGI handler

Add #195: We should probably cache the server TLS contexts

Update #184

Add #194: There should be a way to force gif deanimation

Add #193: Use SHA256 instead of MD5 for the host hash

ssl_send_certificate_error(): Respect HEAD requests by not sending a body

ssl_send_certificate_error(): End body with a single new line

serve(): Increase the chances that the host is logged

... when closing a server socket.

OpenSSL: Log the TLS version and the the cipher used

Bump copyright

Unblock requests to adri*.

mbedTLS: Log the TLS version and cipher suite

privoxy-log-parser: Highlight: "Evaluating tag 'change-tor-socks-port' for client 127.0.0.1. End of life 1613162302."

privoxy-log-parser: Highlight: "Tag 'change-tor-socks-port' for client 127.0.0.1 expired 1 seconds ago. Deleting it."

OpenSSL ssl_store_cert(): Fix two error messages

Block requests for trc*.taboola.com/

Disable fast-redirects for .linkedin.com/

privoxy-regression-test: Bump version to 0.7.3

privoxy-regression-test: Add the --check-bad-ssl option to the --help output

Terminate the body of the HTTP snipplets with a single new line instead of \r\n

OpenSSL ssl_store_cert(): Fix a format specifier

Fix a couple of format specifiers

log_error(): Treat LOG_LEVEL_FATAL as fatal even when --stfu is being used

Reported by: Joshua Rogers (Opera).

Update cgi_send_banner()'s comment header

Logo support has been removed in 2002 (2fd9e77391d).

fuzz_server_header(): Fix compiler warning

fuzz_client_header(): Fix compiler warning

privoxy-log-parser.pl: Let highlight_request_line() tolerate 'Failed reading chunked client body'

privoxy-log-parser.pl: Let gather_loglevel_clf_stats() tolerate another 'invalid' log message

list_is_valid(): Remove '#if 1' block around the function body

The function can be disabled by compiling with NDEBUG now.

configure: Bump copyright

configure: Add --with-assertions option and only enable assertions when it is used

decompress_iob(): Silence compiler warning when compiling with NDEBUG

Only compile list_is_valid() when NDEBUG is undefined

log_error(): Silence a warning when compiling with NDEBUG

windows build: have to include extra libraries for a mingw build

or maybe it's the way I build the stand-alone library?  dunno, but
building with mingw also needs "-lbrotlicommon -lbrotlienc" added
to $LIBS

windows build: default build now uses  --with-brotli

windows build:  default is now  --with-mbedtls

windows: static link privoxy with an external pcre library

The pcre code included with Privoy is very old.  This at
least gets us up to the current PCRE 8.X library code.

windows: enable dynamic error checking

I decided it was silly to have this stuff turned on just for testing
or turned on just for me.

allow building privoxy with a statically linked external pcre library on windows

see /usr/i686-w64-mingw32/sys-root/mingw/include/pcre.h line 54
  #if defined(_WIN32) && !defined(PCRE_STATIC)
  #  ifndef PCRE_EXP_DECL
  #    define PCRE_EXP_DECL  extern __declspec(dllimport)
  #  endif
If you want to statically link a program against a PCRE library in the form of
a non-dll .a file, you must define PCRE_STATIC before including pcre.h or
pcrecpp.h, otherwise the pcre_malloc() and pcre_free() exported functions will
be declared __declspec(dllimport), with unwanted results.

don't assume NSIS is in privoxy git

I wanted NSIS included with Privoxy
Fabian didn't want binaries in the git tree
So install NSIS outside of the Privoxy source code and stop
having to remember to update the location of the NSIS code
when releasing a new version of Privoxy.

Add #192: The client TLS contexts should probably be shared among threads

Add #191: The cipher-list directive should be split

Add #190: The socks5 authentication code should send user name an password seperately

TODO #170: Fix typo

Add #189: Bring back binary packages for macOS

privoxy-log-parser: Highlight 'Complete client request followed by 59 bytes of pipelined data received.'

Add CVEs for security issues fixed in 3.0.31

handle_established_connection(): Add parentheses to clarify an expression

Suggested by: David Binderman

Add CVEs for security issues fixed in 3.0.29

continue_https_chat(): Explicitly unset CSP_FLAG_CLIENT_CONNECTION_KEEP_ALIVE

... if process_encrypted_request() fails.

This makes it more obvious that the connection will not be reused.
Previously serve() relied on CSP_FLAG_SERVER_CONTENT_LENGTH_SET
and CSP_FLAG_CHUNKED being unset.

Inspired by a patch from Joshua Rogers.