Fold in one more changes entry

Merge branch 'maint-0.2.9' into release-0.2.9

When using exponential backoff in test networks, use a lower exponent

Lower exponents mean that delays do not vary as much. This helps test
networks bootstrap consistently.

Bugfix on 20499.

Tomorrow seems more likely

Merge branch 'maint-0.2.9' into release-0.2.9

bump version to 0.2.9.5-alpha

Small changelog tweaks

Fold new entries into changelog and edit lightly

Merge branch 'maint-0.2.9' into release-0.2.9

Make new changes files pass lintchanges

Merge branch 'maint-0.2.9' into release-0.2.9

Merge remote-tracking branch 'teor/bug20484_029_v2' into maint-0.2.9

Merge branch 'maint-0.2.9' into release-0.2.9

Fix another 20499-broken test

Fix a unit test (broken by recent 20499 hacking)

Add onion_service_non_anonymous file to man page

Merge branch 'maint-0.2.9' into release-0.2.9

Merge branch 'bug20534_029_squashed' into maint-0.2.9

Reduce multiplier to 3, per teor's recommendation on #20534

(Three _is_ a good number for anonymity!)

Always increment delays by at least 1.

Avoid integer overflow in delay calculation.

Count HTTP 503 as a download failure.

Because as Teor puts it: "[Resetting on 503] is exactly what we
don't want when relays are busy - imagine clients doing an automatic
reset every time they DoS a relay..."

Fixes bug 20593.

Adjust download schedules per teor's #20534 recommendataions

Merge branch 'maint-0.2.9' into release-0.2.9

Merge branch 'maint-0.2.8' into maint-0.2.9

Merge branch 'maint-0.2.7' into maint-0.2.8

Merge branch 'maint-0.2.6' into maint-0.2.7

Merge branch 'maint-0.2.5' into maint-0.2.6

Merge branch 'maint-0.2.4' into maint-0.2.5

Merge branch '20499_part1_029_squashed', remote-tracking branches 'teor/bug20591_029' and 'teor/bug20533_029' into maint-0.2.9

Allow infinitely long delays in exponential-backoff downloads

It's only safe to remove the failure limit (per 20536) if we are in
fact waiting a bit longer each time we try to download.

Fixes bug 20534; bugfix on 0.2.9.1-alpha.

Merge branch 'maint-0.2.9' into release-0.2.9

Merge branch 'bug20588' into maint-0.2.9

Update geoip and geoip6 to the November 3 2016 database.

When downloading certificates, check for related failures

If a consensus expires while we are waiting for certificates to download,
stop waiting for certificates.

If we stop waiting for certificates less than a minute after we started
downloading them, do not consider the certificate download failure a
separate failure.

Fixes bug 20533; bugfix on commit e0204f21 in 0.2.0.9-alpha.

Ensure relays don't make multiple connections during bootstrap

Relays do not deliberately launch multiple attempts, so the impact of this
bug should be minimal. This fix also defends against bugs like #20499.

Bugfix on 0.2.8.1-alpha.

Always Use EVP_aes_*_ctr() with openssl 1.1

(OpenSSL 1.1 makes EVP_CIPHER_CTX opaque, _and_ adds acceleration
for counter mode on more architectures.  So it won't work if we try
the older approach, and it might help if we try the newer one.)

Fixes bug 20588.

Merge branch 'maint-0.2.9' into release-0.2.9

Finish a sentence in a comment. Close 20576.

Merge branch 'maint-0.2.9' into release-0.2.9

In test_tortls_classify_client_ciphers(), s/ECDH/ECDHE/

(We weren't actually using these ciphers; we were just requing that
ciphers of that name existed.)

Patch from rubiate.  Fixes 20460

Do not apply 'max_failures' to random-exponential schedules.

Fixes bug 20536; bugfix on 0.2.9.1-alpha.

Change a BUG warning to be a warning, not an info.

Fix get_delay() code to avoid TIME_MAX overflow, not INT_MAX.

Fixes bug 20587; bugfix on 35bbf2e4a4e8ccb in 0.2.8.1-alpha.

Start changelog for 0.2.9.5-alpha

Fix warnings from lintChanges.py

Merge branch 'maint-0.2.8' into maint-0.2.9

Merge branch 'bug20551_028' into maint-0.2.8

Merge branch 'maint-0.2.8' into maint-0.2.9

Merge remote-tracking branch 'arma/bug19969_028_squashed' into maint-0.2.8

Merge branch 'maint-0.2.8' into maint-0.2.9

Work around a behavior change in openssl's BUF_MEM code

In our code to write public keys to a string, for some unfathomable
reason since 253f0f160e1185c, we would allocate a memory BIO, then
set the NOCLOSE flag on it, extract its memory buffer, and free it.
Then a little while later we'd free the memory buffer with
BUF_MEM_free().

As of openssl 1.1 this doesn't work any more, since there is now a
BIO_BUF_MEM structure that wraps the BUF_MEM structure.  This
BIO_BUF_MEM doesn't get freed in our code.

So, we had a memory leak!

Is this an openssl bug?  Maybe.  But our code was already pretty
silly.  Why mess around with the NOCLOSE flag here when we can just
keep the BIO object around until we don't need the buffer any more?

Fixes bug 20553; bugfix on 0.0.2pre8

Use explicit casts to avoid warnings when building with openssl 1.1

fixes bug 20551; bugfix on 0.2.1.1-alpha

Use the latest options in rend_service_check_private_dir

Fixup on both:
* Refactor, adding a create argument... and
* Check every hidden service directory's permissions...

Check every hidden service directory's permissions when configuring

Previously, we would only check the last hidden service directory.

Fixes #20529, bugfix on ticket 13942 commit 85bfad1 in 0.2.6.2-alpha.

Test single onion service configs where the directory does not exist

Runs a test for each combination of create/don't create directories.

Tests #20484.

Make sure passthrough_test_setup doesn't inadvertently fail or skip tests

passthrough_test_setup doesn't pass through arguments if the argument
is equal to 0 or TT_SKIP. Instead, it fails or skips the test.

Assert on this, so we don't accidentally fail or skip tests.

Add get_fname_rnd for unit tests that want a unique path every time

Create get_fname_suffix, and refactor get_fname to use it

Improve comments in check_private_dir and onion poisoning

Comment changes only

fixup! Refactor, adding a create argument to rend_service_check_private_dir

Use check_private_dir in test_single_onion_poisoning

This avoids Win32 conditionals for mkdir.

Remove redundant group permission code from rend_service_check_private_dir

check_private_dir already does this for existing directories.

Refactor, adding a create argument to rend_service_check_private_dir

It used to be rend_service_check_and_create_private_dir, which always
created the directory.

No behaviour change.

Always call connection_ap_attach_pending() once a second.

Fixes bug 19969; bugfix on b1d56fc58.  We can fix this some more in
later Tors, but for now, this is probably the simplest fix possible.

This is a belt-and-suspenders fix, where the earlier fix ("Ask
event_base_loop to finish when we add a pending stream") aims to respond
to new streams as soon as they arrive, and this one aims to make sure
that we definitely respond to all of the streams.

Ask event_base_loop to finish when we add a pending stream

Fixes bug 19969; bugfix on b1d56fc58. We can fix this some more in
later Tors, but for now, this is probably the right fix for us.

refactor out the tor_event_base_loopexit() call

no actual changes

Attempt to fix unit tests on netbsd

Merge remote-tracking branch 'teor/bug20472-029-v2' into maint-0.2.9

Merge branch 'bug20487_029' into maint-0.2.9

Merge branch 'bug19968_029' into maint-0.2.9

Actually free the worker_state_t object when we do an update with it

Previously we freed the old "keys" object, but leaked the
worker_state_t that we had taken it from.

Fixes bug 20401; bugfix on 0.2.6.3-alpha.

Add a sentence to the manpage about nonanonymous=>Socksport 0.

Closes 20487.

Create single-onion-service directory before poisoning it, if needed

(Also, refactor the code to create a hidden service directory into a
separate funcion, so we don't have to duplicate it.)

Fixes bug 20484; bugfix on 0.2.9.3-alpha.

Actually clamp the number of detected CPUs to 16.

Previously we said we did, but didn't.

Fixes #19968; bugfix on 0.2.3.1-alpha.

Rename routerstatus_version_supports_ntor to *_supports_extend2_cells

This helps avoid the confusion that caused bug 20472.
Bugfix on commit 10aa913 from #19163 in tor-0.2.9.3-alpha.

Refactor circuit_pick_create_handshake

Make the structure of circuit_pick_create_handshake consistent with
circuit_pick_extend_handshake.

No behaviour change.

In circuit_pick_extend_handshake, assume all hops support EXTEND2 and ntor

This simplifies the function: if we have an ntor key, use ntor/EXTEND2,
otherwise, use TAP/EXTEND.

Bugfix on commit 10aa913 from 19163 in 0.2.9.3-alpha.

Avoid tor_fragile_assert() failure with DNSPort on RESOLVED_TYPE_ERROR

The tor_fragile_assert() bug has existed here since c8a5e2d588e0d91
in tor-0.2.1.7-alpha forever, but tor_fragile_assert() was mostly a
no-op until 0.2.9.1-alpha.

Fixes bug 19869.

changes file for module docs

Module-level docs for ext_orport and router.c

Turn replaycache.c module doc into doxygen

Document connection_or.c and connection.c at module level

Module documentation for circuitmux_ewma.c

Turn circuitmux.c comments into module docs.

Module docs for channel.c and channeltls.c

Merge branch 'maint-0.2.8'

"ours" commit to avoid bumping version.

Bump to 0.2.8.9-dev

Bump master to 0.2.9.4-alpha-dev

release-notes for 0.2.8.9

Merge branch 'maint-0.2.8'

("ours" merge to avoid taking version bump)

bump to 0.2.8.9

Fold 20384 into changelog

Update the buffer sentinel fix to work with our #20081 fix.

Merge branch 'maint-0.2.8'

Merge branch 'buf_sentinel_026_v2' into maint-0.2.8

Add a one-word sentinel value of 0x0 at the end of each buf_t chunk

This helps protect against bugs where any part of a buf_t's memory
is passed to a function that expects a NUL-terminated input.

It also closes TROVE-2016-10-001 (aka bug 20384).

changelog typo fixes from Rubiate

Bump version to 0.2.9.4-alpha.

edits to changelog from kate and david