rust: Mirror TROVE-2018-005 fix in Rust protover implementation.

 * REFACTORS `UnvalidatedProtoEntry::from_str` to place the bulk of the
   splitting/parsing logic in to a new
   `UnvalidatedProtoEntry::parse_protocol_and_version_str()` method (so that
   both `from_str()` and `from_str_any_len()` can call it.)
 * ADD a new `UnvalidatedProtoEntry::from_str_any_len()` method in order to
   maintain compatibility with consensus methods older than 29.
 * ADD a limit on the number of characters in a protocol name.
 * FIXES part of #25517: https://bugs.torproject.org/25517

Merge branch 'trove-2018-005_032' into trove-2018-005_033

changes file for TROVE-2018-005

Add stdbool to protover.h. Only needed for the 032 backport

vote: TROVE-2018-005 Make DirAuths omit misbehaving routers from their vote.

protover: TROVE-2018-005 Fix potential DoS in protover protocol parsing.

In protover.c, the `expand_protocol_list()` function expands a `smartlist_t` of
`proto_entry_t`s to their protocol name concatenated with each version number.
For example, given a `proto_entry_t` like so:

    proto_entry_t *proto = tor_malloc(sizeof(proto_entry_t));
    proto_range_t *range = tor_malloc_zero(sizeof(proto_range_t));

    proto->name = tor_strdup("DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa");
    proto->ranges = smartlist_new();

    range->low = 1;
    range->high = 65536;

    smartlist_add(proto->ranges, range);

(Where `[19KB]` is roughly 19KB of `"a"` bytes.)  This would expand in
`expand_protocol_list()` to a `smartlist_t` containing 65536 copies of the
string, e.g.:

    "DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa=1"
    "DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa=2"
    […]
    "DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa=65535"

Thus constituting a potential resource exhaustion attack.

The Rust implementation is not subject to this attack, because it instead
expands the above string into a `HashMap<String, HashSet<u32>` prior to #24031,
and a `HashMap<UnvalidatedProtocol, ProtoSet>` after).  Neither Rust version is
subject to this attack, because it only stores the `String` once per protocol.
(Although a related, but apparently of too minor impact to be usable, DoS bug
has been fixed in #24031. [0])

[0]: https://bugs.torproject.org/24031

 * ADDS hard limit on protocol name lengths in protover.c and checks in
   parse_single_entry() and expand_protocol_list().
 * ADDS tests to ensure the bug is caught.
 * FIXES #25517: https://bugs.torproject.org/25517

Fix a crash bug when testing reachability

Fixes bug 25415; bugfix on 0.3.3.2-alpha.

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'bug26072_029' into maint-0.2.9

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.2.9' into maint-0.3.1

Update geoip and geoip6 to the May 1 2018 database.

Add a missing return after marking a stream for bad connected cell

Fixes bug 26072; bugfix on 0.2.4.7-alpha.

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge remote-tracking branch 'dgoulet/bug26069_031_01' into maint-0.3.1

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge remote-tracking branch 'juga/ticket26007_029_02' into maint-0.2.9

hs-v3: Add an extra white-space when parsing descriptor

The specification describes the signature token to be right after a newline
(\n) then the token "signature" and then a white-space followed by the encoded
signature.

This commit makes sure that when we parse the signature from the descriptor,
we are always looking for that extra white-space at the end of the token.

It will allow us also to support future fields that might start with
"signature".

Fixes #26069

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Having a ControlPort open doesn't mean we are a client

The any_client_port_set() returns true if the ControlPort is set which is
wrong because we can have that port open but still not behave as a tor client
(like many relays for instance).

Fixes #26062

Signed-off-by: David Goulet <dgoulet@torproject.org>

Test read bandwidth measurements with empty file

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge remote-tracking branch 'asn-github/bug25761_032' into maint-0.3.2

Stop logging stack contents when reading a zero-length bandwidth file

When directory authorities read a zero-byte bandwidth file, they log
a warning with the contents of an uninitialised buffer. Log a warning
about the empty file instead.

Fixes bug 26007; bugfix on 0.2.2.1-alpha.

Merge branch 'libressl_201805_033' into maint-0.3.3

Detect when v3 services get disabled after HUP.

Remove v3 optimization which made Tor not detect disabling services.

This optimization is not so needed because we only call that function after HUP
anyway.

Fixes bug #25761.

Detect when v2 services get disabled after HUP.

During service configuration, rend_service_prune_list_impl_() sets
rend_service_staging_list to NULL, which blocked pruning after a HUP.

This patch initializes rend_service_staging_list when needed, so that HUP can
detect disabled onion services.

Fixes bug #25761.

manpage fix to stop saying CacheIPv4DNS is on by default

Stop saying in the manual that clients cache ipv4 dns answers from exit
relays. We haven't used them since 0.2.6.3-alpha, and in ticket 24050
we stopped even caching them as of 0.3.2.6-alpha, but we forgot to say
so in the man page.

Fixes bug 26052; bugfix on 0.3.2.6-alpha.

Merge remote-tracking branch 'mikeperry/bug25733_029' into maint-0.3.3

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge remote-tracking branch 'catalyst-github/bug25936-033' into maint-0.3.3

Merge remote-tracking branch 'catalyst-github/bug25936-031' into maint-0.3.1

Merge remote-tracking branch 'catalyst-github/bug25936-029' into maint-0.2.9

Merge remote-tracking branch 'teor/bug25998' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'maint-0.3.2' into maint-0.3.3

Stop logging stack contents when reading a zero-length bandwidth file

When directory authorities read a zero-byte bandwidth file, they log
a warning with the contents of an uninitialised buffer. Log a warning
about the empty file instead.

Fixes bug 26007; bugfix on 0.2.2.1-alpha.

Merge branch 'libressl_201805_029' into maint-0.3.3

LibreSSL compatibility fixes.

LibreSSL, despite not having the OpenSSL 1.1 API, does define
OPENSSL_VERSION in crypto.h.  Additionally, it apparently annotates
some functions as returning NULL, so that our unit tests need to be
more careful about checking for NULL so they don't get compilation
warnings.

Closes ticket 26006.

man page: FetchUselessDescriptors and DirCache exclude extra infos

man page: UseMicrodescriptors auto and 1 are the same now

man page: FetchUselessDescriptors stops tor going idle

Also explain how FetchUselessDescriptors and UseMicrodescriptors are
different.

Closes 25998.

Stop initialising rust submodules, travis does this for us

Fixes #24630.

Bug 25733: Avoid assert failure if all circuits time out.

Prior to #23100, we were not counting HS circuit build times in our
calculation of the timeout. This could lead to a condition where our timeout
was set too low, based on non HS circuit build times, and then we would
abandon all HS circuits, storing no valid timeouts in the histogram.

This commit avoids the assert.

Merge branch 'bug25936-032' into bug25936-033

Merge branch 'bug25936-031' into bug25936-032

Merge branch 'bug25936-029' into bug25936-031

Show test-suite.log for distcheck on Travis CI

When Travis CI runs make distcheck, test-suite.log doesn't exist in
the expected place.  Add a new make target to show this file and use
it when DISTCHECK=yes in .travis.yml.  Fixes bug 25814; bug not in any
released Tor.

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Fix a copy-paste error in the fix for #23693.

Found by coverity; CID 25912; bug not in any released Tor.

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'travis_distcheck_033' into maint-0.3.3

Merge branch 'travis_distcheck_029' into maint-0.2.9

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge remote-tracking branch 'dgoulet/bug25901_032_01' into maint-0.3.2

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge remote-tracking branch 'public/bug23693_031_redux' into maint-0.3.1

hs: Fix memleak in v3 on SIGHUP

Fixes #25901

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'bug24969_029_v2' into maint-0.2.9

Permit the nanosleep system call in the seccomp2 callbox

Fixes bug 24969; bugfix on 0.2.5.1-alpha when the sandbox was introduced.

Allow cpuworkers to exist without onion keys

Now that we allow cpuworkers for dirport-only hosts (to fix 23693),
we need to allow dup_onion_keys() to succeed for them.

The change to construct_ntor_key_map() is for correctness,
but is not strictly necessary.

Fix documentation bug 25857: the universe is ::/0, not ::/128

Patch from CTassisF.

Merge branch 'travis_distcheck_031' into travis_distcheck_033

Test the with-rust and without-rust distcheck variants

Merge branch 'travis_distcheck_029' into travis_distcheck_033

Merge branch 'travis_distcheck_029' into travis_distcheck_031

Add distcheck support to travis configuration.

Implements 25814.

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.2.9' into maint-0.3.1

heartbeat: Log the number of circuits killed because too many cells

We recently merged a circuit cell queue size safeguard. This commit adds the
number of killed circuits that have reached the limit to the DoS heartbeat. It
now looks like this:

  [notice] DoS mitigation since startup: 0 circuits killed with too many
  cells. 0 circuits rejected, 0 marked addresses. 0 connections closed. 0
  single hop clients refused.

Second thing that this patch does. It makes tor always print the DoS
mitigation heartbeat line (for a relay) even though no DoS mitigation have
been enabled. The reason is because we now kill circuits that have too many
cells regardless on if it is enabled or not but also it will give the operator
a chance to learn what is enabled with the heartbeat instead of suddenly
appearing when it is enabled by let say the consensus.

Fixes #25824

Signed-off-by: David Goulet <dgoulet@torproject.org>

Add support for the coveralls.io coverage tool in travis config

Closes ticket 25818.

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'maint-0.3.2' into maint-0.3.3

Fix an LCOV exclusion pattern in address.c

Merge remote-tracking branch 'dgoulet/bug25226_033_02' into maint-0.3.3

relay: Implement a circuit cell queue maximum size

This commit introduces the consensus parameter "circ_max_cell_queue_size"
which controls the maximum number of cells a circuit queue should have.

The default value is currently 50000 cells which is above what should be
expected but keeps us a margin of error for padding cells.

Related to this is #9072. Back in 0.2.4.14-alpha, we've removed that limit due
to a Guard discovery attack. Ticket #25226 details why we are putting back the
limit due to the memory pressure issue on relays.

Fixes #25226

Signed-off-by: David Goulet <dgoulet@torproject.org>

bump to 0.3.3.5-rc-dev

bump to 0.3.3.5-rc

Merge remote-tracking branch 'dgoulet/ticket25248_033_02' into maint-0.3.3

doc: Fix typo and clarify that DoS options are relay only