Merge remote-tracking branch 'public/bug9596' into maint-0.2.4

Merge branch 'bug9880_fix' into maint-0.2.4

Fix a bug in our bug 9776 fix.

By calling circuit_n_chan_done() unconditionally on close, we were
closing pending connections that might not have been pending quite for
the connection we were closing.  Fix for bug 9880.

Thanks to skruffy for finding this and explaining it patiently until
we understood.

Always call circuit_n_chan_done(chan, 0) from channel_closed()

Fix a compilation warning with older gcc

Relays should send timestamp in NETINFO.

This avoids skew warnings as authorities test reachability.

Fix 9798; fix not on any released Tor.

back out most of 1d0ba9a

this was causing directory authorities to send a time of 0 on all
connections they generated themselves, which means everybody reachability
test caused a time skew warning in the log for that relay.

(i didn't just revert, because the changes file has been modified by
other later commits.)

Merge branch 'no_client_timestamps_024_v2' into maint-0.2.4

Avoid error by not saying which intro cell type I mean

Round down hidden service descriptor publication times to nearest hour

Implements part of proposal 222.  We can do this safely, since
REND_CACHE_MAX_SKEW is 24 hours.

Remove the timestamp from AUTHENTICATE cells; replace with random bytes

This isn't actually much of an issue, since only relays send
AUTHENTICATE cells, but while we're removing timestamps, we might as
well do this too.

Part of proposal 222.  I didn't take the approach in the proposal of
using a time-based HMAC, since that was a bad-prng-mitigation hack
from SSL3, and in real life, if you don't have a good RNG, you're
hopeless as a Tor server.

Get ready to stop sending timestamps in INTRODUCE cells

For now, round down to the nearest 10 minutes.  Later, eliminate entirely by
setting a consensus parameter.

(This rounding is safe because, in 0.2.2, where the timestamp mattered,
REND_REPLAY_TIME_INTERVAL was a nice generous 60 minutes.)

Stop sending the current time in client NETINFO handshakes.

Implements part of proposal 222.

Document that disabledebuggerattachment prevents cores

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Update to the September 2013 GeoIP database.

collect and log statistics about onionskins received/processed

we skip onionskins that came from non-relays, so we're less likely to
run into privacy troubles.

starts to implement ticket 9658.

Revert e443beff and solve it a different way

Now we explicitly check for overflow.

This approach seemed smarter than a cascade of "change int to unsigned
int and hope nothing breaks right before the release".

Nick, feel free to fix in a better way, maybe in master.

don't let recently_chosen_ntors overflow

with commit c6f1668d we let it grow arbitrarily large.

it can still overflow, but the damage is very small now.

nickm wants us to prioritize tap in a currently-rare edge case

add a changes entry for ticket 9574

Be more general in calculating expected onion queue processing time

Now we consider the TAP cells we'll process while draining the NTor
queue, and vice versa.

let the NumNTorsPerTAP consensus param override our queue choice

do a lopsided round-robin between the onion queues

that way tap won't starve entirely, but we'll still handle ntor requests
quicker.

check bounds on handshake_type more thoroughly

add info-level logs to help track onion queue sizes

refactor and give it unit tests

Separate cpuworker queues by handshake type

Now we prioritize ntor create cells over tap create cells.

Starts to address ticket 9574.

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Conflicts:
src/or/circuitbuild.c

Merge branch 'bug9671_023' into maint-0.2.3

use !cbt_disabled in place of LearnCBT to avoid needless circs

This would make us do testing circuits "even when cbt is disabled by
consensus, or when we're a directory authority, or when we've failed
to write cbt history to our state file lately." (Roger's words.)

This is a fix for 9671 and an improvement in our fix for 5049.
The original misbehavior was in 0.2.2.14-alpha; the incomplete
fix was in 0.2.3.17-beta.

Merge branch 'bug9400_024_squashed' into maint-0.2.4

Avoid a double-close on one failing case of the socketpair replacement code

Fix for bug 9400, spotted by coverity. Bug introduced in revision 2cb4f7a4
(subversion revision r389).

Increase POLICY_BUF_LEN to 72 to accomodate IPv6 exit policy items.

Fixes bug 9596; bugfix on 0.2.4.7-alpha.

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

(Using "ours" strategy to avoid taking 9546 fix in 0.2.3; we just
merged our own into 0.2.4)

Merge remote-tracking branch 'public/bug9546_023_v2' into maint-0.2.3

Merge remote-tracking branch 'public/bug9546_v2' into maint-0.2.4

Merge remote-tracking branch 'public/bug9366' into maint-0.2.4

Merge remote-tracking branch 'public/bug9543' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Merge remote-tracking branch 'public/bug9564' into maint-0.2.3

Replace return with continue in update_consensus_networkstatus_downloads

Fix for bug 9564; bugfix on 0.2.3.14-alpha.

Add a 30-day maximum on user-supplied MaxCircuitDirtiness

Fix for bug 9543.

Make bridges send AUTH_CHALLENGE cells

The spec requires them to do so, and not doing so creates a situation
where they can't send-test because relays won't extend to them because
of the other part of bug 9546.

Fixes bug 9546; bugfix on 0.2.3.6-alpha.

Make bridges send AUTH_CHALLENGE cells

The spec requires them to do so, and not doing so creates a situation
where they can't send-test because relays won't extend to them because
of the other part of bug 9546.

Fixes bug 9546; bugfix on 0.2.3.6-alpha.

Send NETINFO on receiving a NETINFO if we have not yet sent one.

(Backport to Tor 0.2.3)

Relays previously, when initiating a connection, would only send a
NETINFO after sending an AUTHENTICATE.  But bridges, when receiving a
connection, would never send AUTH_CHALLENGE.  So relays wouldn't
AUTHENTICATE, and wouldn't NETINFO, and then bridges would be
surprised to be receiving CREATE cells on a non-open circuit.

Fixes bug 9546.

Send NETINFO on receiving a NETINFO if we have not yet sent one.

Relays previously, when initiating a connection, would only send a
NETINFO after sending an AUTHENTICATE.  But bridges, when receiving a
connection, would never send AUTH_CHALLENGE.  So relays wouldn't
AUTHENTICATE, and wouldn't NETINFO, and then bridges would be
surprised to be receiving CREATE cells on a non-open circuit.

Fixes bug 9546.

Document the correct loglevel for the heartbeat message

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Update to the August 2013 GeoIP database.

Fix an uninitialized-read when parsing v3 introduction requests.

Fortunately, later checks mean that uninitialized data can't get sent
to the network by this bug.  Unfortunately, reading uninitialized heap
*can* (in some cases, with some allocators) cause a crash if you get
unlucky and go off the end of a page.

Found by asn.  Bugfix on 0.2.4.1-alpha.

Use SOCKET_OK/TOR_INVALID_SOCKET in socketpair replacement code

Don't allow all ORPort values to be NoAdvertise

Fix for bug #9366

Merge remote-tracking branch 'arma/bug9354' into maint-0.2.4

Fix invalid-read when a managed proxy configuration fails.

NumDirectoryGuards now tracks NumEntryGuards by default

Now a user who changes only NumEntryGuards will get the behavior she
expects. Fixes bug 9354; bugfix on 0.2.4.8-alpha.

Merge branch 'bug9337' into maint-0.2.4

Avoid assertion failure on unexepcted address family in DNS reply.

Fixes bug 9337; bugfix on 0.2.4.7-alpha.

Fix bug9309, and n_noncanonical count/continue code

When we moved channel_matches_target_addr_for_extend() into a separate
function, its sense was inverted from what one might expect, and we
didn't have a ! in one place where we should have.

Found by skruffy.

fix typo

Merge remote-tracking branch 'public/bug9295_023' into maint-0.2.4

Fix for bug 9295: Don't crash when running --hash-password.

Fix on 0.2.4.15-rc; I'm doing this branch against 0.2.3, since we're
considering #9122 for an 0.2.3 backport, and if we do, we should merge
this too.

tmp

Re-do a cast in order to make old buggy freebsd gcc happy

Fix for #9254.  Bugfix on 0.2.4.14-alpha.

This is not actually a bug in the Tor code.

Merge branch 'bug9200' into maint-0.2.4

Add a comment and a check for why flag indices will be <= 63

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Update to the July 2013 GeoIP database.

FIx undefined behavior in dirvote.c

 Fix a bug in the voting algorithm that could yield incorrect results
 when a non-naming authority declared too many flags. Fixes bug 9200;
 bugfix on 0.2.0.3-alpha.

Found by coverity scan.

Merge branch 'bug9147' into maint-0.2.4

Give a warning when bufferevents are enabled.

Ticket 9147.

Fix bug 9122: don't allow newdefaultoptions to be NULL

(This caused a crash that was reported as bug 9122, but the underlying
behavior has been wrong for a while.)

Fix on 0.2.3.9-alpha.

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Fix some problems with the bug9002 fix.

Fixes bug 9090; bug not in any released Tor.

Tweak bug9063_redux patch: {n_p}_chan_cells, not {n,p}_conn_cells

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Conflicts:
src/or/config.c
src/or/relay.c

Merge branch 'bug9063_redux_023_squashed' into maint-0.2.3

Implement a real OOM-killer for too-long circuit queues.

This implements "algorithm 1" from my discussion of bug #9072: on OOM,
find the circuits with the longest queues, and kill them.  It's also a
fix for #9063 -- without the side-effects of bug #9072.

The memory bounds aren't perfect here, and you need to be sure to
allow some slack for the rest of Tor's usage.

This isn't a perfect fix; the rest of the solutions I describe on
codeable.

Limit hidden service descriptors to at most 10 guard nodes.

Fixes bug 9002; bugfix on 0.1.1.11-alpha (which introduced guard
nodes), or on 0.0.6pre1 (which introduced hidden services).

Merge branch 'bug9072-023' into bug9072-024

Disable middle relay queue overfill detection code due to possible guard discovery attack

Merge branch 'circuit_queue_cap-0.2.4-squashed' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Using "ours" strategy to avoid taking changes.

Merge branch 'circuit_queue_cap-0.2.3-squashed' into maint-0.2.3

Increase the limit so leaky pipe might work

Increase the limit so leaky pipe might work

Don't queue more cells as a middle relay than the spec allows to be in flight

Don't queue more cells as a middle relay than the spec allows to be in flight

Merge branch 'bug9047' into maint-0.2.4

Define SEEK_SET for platforms that lack it.

If we write the annotation but not the microdescriptor, rewind.

This fixes bug 9047 (and some parts of 9031, 8922, 8883 that weren't
fixed in 8822).  Bugfix on 0.2.2.6-alpha.

Merge remote-tracking branch 'public/bug8822' into maint-0.2.4

Fix the biggest errors in doc/HACKING

We can wait for 0.2.5 for a full rewrite.  #8964

Remove various outdated documents.

doc/TODO and doc/spec/README were placeholders to tell people where to
look for the real TODO and README stuff -- we replaced them years ago,
though.

authority-policy, v3-authority-howto, and torel-design.txt belong in
torspec.  I'm putting them in attic there since I think they may be in
large part obsolete, but someone can rescue them if they're not.

translations.txt is outdated, and refers to lots of programs other
than Tor.  We have much better translation resources on the website
now.

tor-win32-mingw-creation.txt is pending review of a revised version
for 0.2.5 (see ticket #4520), but there's no reason to ship this one
while we're waiting for an accurate version.

the tor-rpm-creation.txt isn't obsolete AFAIK, but it belongs in
doc/contrib if anywhere.

Resolves bug #8965.

Merge remote-tracking branch 'andrea/bug8639_v3' into maint-0.2.4

Make all consumers of microdesc_t.body tolerate NULL

This is another fix to try to mitigate recurrences of 8031/8822.

Unmap the microdescriptor cache before replacing it.

This is a reprise of the fix in bdff7e3299d78; 6905c1f6 reintroduced
that bug.  Briefly: windows doesn't seem to like deleting a mapped
file.  I tried adding the PROT_SHARED_DELETE flag to the createfile
all, but that didn't actually fix this issue.  Fortunately, the unit
test I added in 4f4fc63fea0589a4fa03f3859dc27860cdde75af should
prevent us from making this particular screw-up again.

This patch also tries to limit the crash potential of a failure to
write by a little bit, although it could do a better job of retaining
microdescriptor bodies.

Fix for bug 8822, bugfix on 0.2.4.12-alpha.