Merge branch 'maint-0.4.6' into maint-0.4.7

Merge branch 'maint-0.4.5' into maint-0.4.6

geoip: Update files from maint-0.4.7

Signed-off-by: David Goulet <dgoulet@torproject.org>

ignore families for L2 guard independence

mike is concerned that we would get too much exposure to adversaries,
if we enforce that none of our L2 guards can be in the same family.

this change set now essentially finishes the feature that commit a77727cdc
was attempting to add, but strips the "_and_family" part of that plan.

make L2 vanguards actually independent

We had omitted some checks for whether our vanguards (second layer
guards from proposal 333) overlapped or came from the same family.
Now make sure to pick each of them to be independent.

Fixes bug 40639; bugfix on 0.4.7.1-alpha.

man: Fix typo for AuthDirMiddleOnly option

Signed-off-by: David Goulet <dgoulet@torproject.org>

dirauth: Make voting flag threshold tunable via torrc

Remove UPTIME_TO_GUARANTEE_STABLE, MTBF_TO_GUARANTEE_STABLE,
TIME_KNOWN_TO_GUARANTEE_FAMILIAR WFU_TO_GUARANTEE_GUARD and replace each
of them with a tunnable torrc option.

Related to #40652

Signed-off-by: David Goulet <dgoulet@torproject.org>

dirauth: Add a AuthDirVoteGuard to pin Guard flags

Related to #40652

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.5' into maint-0.4.6

Merge branch 'maint-0.4.6' into maint-0.4.7

Merge branch 'tor-gitlab/mr/608' into maint-0.4.5

Merge branch 'maint-0.4.5' into maint-0.4.6

Merge branch 'maint-0.4.6' into maint-0.4.7

relay: Don't send DESTROY remote reason backward or forward

Fixes #40649

Signed-off-by: David Goulet <dgoulet@torproject.org>

Changes file for bug 40644.

Add an underflow check to a cwnd error condition.

conn: Notify btrack subsys on normal OR conn close

Fixes #40604

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.5' into maint-0.4.6

Merge branch 'maint-0.4.6' into maint-0.4.7

Merge branch 'tor-gitlab/mr/605' into maint-0.4.5

Fix a check, make a netflow padding function more safe.

Previously, `channelpadding_get_netflow_inactive_timeout_ms` would
crash with an assertion failure if `low_timeout` was greater than
`high_timeout`. That wasn't possible in practice because of checks
in `channelpadding_update_padding_for_channel`, but it's better not
to have a function whose correctness is this tricky to prove.

Fixes #40645.  Bugfix on 0.3.1.1-alpha.

relay: Use remote reason when sending back a DESTROY

Fix from previous commit where a DESTROY cell is sent instead of a
TRUNCATED.

Related to #40623

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.5' into maint-0.4.6

Merge branch 'maint-0.4.6' into maint-0.4.7

relay: Send DESTROY cell instead of TRUNCATED cell

Note that with this commit, TRUNCATED cells won't be used anymore that
is client and relays won't emit them.

Fixes #40623

Signed-off-by: David Goulet <dgoulet@torproject.org>

version: Bump version to 0.4.7.8-dev

version: Bump version to 0.4.7.8

release: ChangeLog and ReleaseNotes for 0.4.7.8

fallbackdir: Update list generated on June 17, 2022

Update geoip files to match ipfire location db, 2022/06/17.

Add changes file for bug40626

Fix for RTT calculation hang during congestion control.

Only cache RTT on explicit stalls; Only use this cache for the
RTT decrease case. Otherwise use only local circuit RTT state for clock jump
checks.

Changes file for Bug 40612

Demote "Unexpected path length" log to info.

You win Maze; we surrender.

Changes file for Bug #40603.

Demote a warning about finding hops in path if no dir info.

Leave it at notice if we do have enough dir info.

Merge branch 'tor-gitlab/mr/583' into maint-0.4.7

Bug 40620: Changes file

Demote log message to info.

This log is harmless, and can be common at relays if clients are sending XOFF.

Merge branch 'maint-0.4.5' into maint-0.4.6

Merge branch 'maint-0.4.6' into maint-0.4.7

Add changes entry to tor!575.

See: tpo/core/tor#40601.

sandbox: Permit rseq syscall as well

This was found to be necessary in conjunction with glibc 2.35 on Linux.

Signed-off-by: Peter Müller <peter.mueller@ipfire.org>

version: Bump to 0.4.7.7-dev

Signed-off-by: David Goulet <dgoulet@torproject.org>

ci: Add 0.4.7 series to scripts and CI

Signed-off-by: David Goulet <dgoulet@torproject.org>

version: Bump version to 0.4.7.7

release: ChangeLog and ReleaseNotes for 0.4.7.7

fallbackdir: Update list generated on April 27, 2022

Update geoip files to match ipfire location db, 2022/04/27.

Changes file for bug40598

Bug 40598: Demote warn log about odd path lengths with congestion control.

Merge branch 'maint-0.4.5' into maint-0.4.6

Merge branch 'maint-0.4.6'

Merge branch 'tor-gitlab/mr/491' into maint-0.4.5

Merge branch 'maint-0.4.5' into maint-0.4.6

Merge branch 'maint-0.4.6'

Merge branch 'tor-gitlab/mr/497' into maint-0.4.5

Merge branch 'maint-0.4.6'

doc: Minor changes to the Releasing doc

Signed-off-by: David Goulet <dgoulet@torproject.org>

version: Bump version to 0.4.7.6-rc-dev

version: Bump version to 0.4.7.6-rc

release: ChangeLog and ReleaseNotes for 0.4.7.6-rc

fallbackdir: Update list generated on April 07, 2022

Update geoip files to match ipfire location db, 2022/04/07.

Merge branch 'tor-gitlab/mr/557'

document running_long_enough_to_decide_unreachable()

It came as a surprise that Serge, the bridge authority, omits the Running
flag for all bridges in its first 30 minutes after a restart:
https://bugs.torproject.org/tpo/anti-censorship/rdsys/102

The fix we're doing for now is to accept it as correct behavior in
Tor, and change all the supporting tools to be able to handle bridge
networkstatus docs that have no Running bridges.

I'm documenting it here inside Tor too so the next person might not
be so surprised.

test: Unit tests for overload onionskin ntor

Part of #40560

Signed-off-by: David Goulet <dgoulet@torproject.org>

rephist: Introduce a fraction and period for overload onionskin

This code was heavily reused from the previous DNS timeout work done in
ticket #40491 that was removed afterall from our code.

Closes #40560

Signed-off-by: David Goulet <dgoulet@torproject.org>

ci: print test_network_log contents

cat will always print "cat: test_network_log: Is a directory". change it to
head -n -0, which is arguably not the perfect format but is at least somewhat
useful.

Merge branch 'maint-0.4.6'

Merge branch 'maint-0.4.5' into maint-0.4.6

Merge branch 'tor-gitlab/mr/556' into maint-0.4.5

Sandbox: Permit the clone3 system call

Apparently glibc-2.34 uses clone3, when previously it just used
clone.

Closes ticket #40590.

version: Bump version to 0.4.7.5-alpha-dev

version: Bump version to 0.4.7.5-alpha

release: ChangeLog and ReleaseNotes for 0.4.7.5-alpha

fallbackdir: Update list generated on March 25, 2022

Update geoip files to match ipfire location db, 2022/03/25.

Light editing to changes entries for 0.4.7.5-alpha

Merge branch 'tor-gitlab/mr/550'

Merge branch 'tor-gitlab/mr/548'

hs: Helper function to setup congestion control

We had 3 callsites setting up the circuit congestion control and so this
commit consolidates all 3 calls into 1 function.

Related to #40586

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs: Transfer ccontrol from circuit to cpath

Once the cpath is finalized, e2e encryption setup, transfer the ccontrol
from the rendezvous circuit to the cpath.

This allows the congestion control subsystem to properly function for
both upload and download side of onion services.

Closes #40586

Signed-off-by: David Goulet <dgoulet@torproject.org>

dns: Remove reachable BUG()

Fixes #40587

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-gitlab/mr/490'

Merge branch 'maint-0.4.5' into maint-0.4.6

Merge branch 'maint-0.4.6'

Merge branch 'tor-gitlab/mr/533' into maint-0.4.5

relay: Reconfigure libevent options only on DNS params change

Related #40312

Signed-off-by: David Goulet <dgoulet@torproject.org>

relay: On new consensus, reconfigure DNS nameservers

This applies only for relays. Previous commit adds two new consensus
parameters that dictate how libevent is configured with DNS resolution.
And so, with a new consensus, we now look at those values in case they
ever change.

Without this, Exit relay would have to HUP or restart to apply any new
Exit DNS consensus parameters.

Related to #40312

Signed-off-by: David Goulet <dgoulet@torproject.org>

relay: Lower DNS Exit-side timeout

Introduces two new consensus parameter:

  exit_dns_timeout: Number of seconds before libevent should consider
  the DNS request a timeout.

  exit_dns_num_attempts: Number of attempts that libeven should retry a
  previously failing query before calling it a timeout.

Closes #40312

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-gitlab/mr/547'

crypto: Clarifying comment for the random hostname calculation

Closes #40520

Signed-off-by: David Goulet <dgoulet@torproject.org>

changes: Add changes file for ticket 40560

Signed-off-by: David Goulet <dgoulet@torproject.org>

test: Unit tests for overload onionskin ntor

Part of #40560

Signed-off-by: David Goulet <dgoulet@torproject.org>

rephist: Introduce a fraction and period for overload onionskin

This code was heavily reused from the previous DNS timeout work done in
ticket #40491 that was removed afterall from our code.

Closes #40560

Signed-off-by: David Goulet <dgoulet@torproject.org>

dns: Wake up a dormant tor with a DNSPort request

Fixes #40577

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-gitlab/mr/546'

Changes file for #40568

Emit control port notification for XON/XOFF