A day has passed.

Add test-network.sh to EXTRA_DIST

Make our digest-mismatch warnings a touch better

Merge branch 'bug17149'

Include some content when exporting abs_top_srcdir and builddir

FreeBSD make demands this.

Put braces around reject-lines for IPv6 addrs

Fixes bug 17149; bug not in any released Tor.

fold 17148 into changelog

Add more quotes in the test scripts

Stop trying to generate test scripts via autoconf substitution.

Use environment variables instead. This repairs 'make distcheck',
which was running into trouble when it tried to chmod the generated
scripts.

Fixes 17148.

fix tor-fw-helper url

Changelog: more clarity and fixing

Increment version.

Now I have a number here. (Had to use OSX becaue of #17146)

fold 17135 into changelog

Merge branch 'underpinning_squashed'

changes file and manpage entry for AuthDirPinKeys

Fold new entries into changelog

Reformat the changelog

more edits to the changelog

Merge remote-tracking branch 'origin/maint-0.2.6'

Merge remote-tracking branch 'origin/maint-0.2.5' into maint-0.2.6

Merge remote-tracking branch 'origin/maint-0.2.4' into maint-0.2.5

Update geoip and geoip6 to the September 3 2015 database.

various changelog entry rewrites/revisions

New AuthDirPinKeys option to enable/disable keypinning enforcement

Implements ticket #17135.  We're going to need this one to avoid
chaos as everybody figures out how ed25519 keys work.

Extract the add-or-replace-keypin logic into a new function

We're about to need to call it in another place too.

Allow conflicts to occur in keypinning journal

When we find a conflict in the keypinning journal, treat the new
entry as superseding all old entries that overlap either of its
keys.

Also add a (not-yet-used) configuration option to disable keypinning
enforcement.

some changelog work

add a README to src/config

add more clang checkers; find no new bugs.

scan-build is more mature now; no need to hardcode the one in my /opt/clang-3.4

Fix a memory leak in router_parse_addr_policy_item_from_string.  CID 1324770

Merge branch 'feature16769_squashed'

Remove --master-key form the changes file

Disable --master-key as not-yet-working for 0.2.7

Add a --master-key option

This lets the user override the default location for the master key
when used with --keygen

Part of 16769.

Add a new --newpass option to add or remove secret key passphrases.

Merge branch 'feature16944_v2'

Sort changelog entries a little more

Merge branch 'bug17109_v2_squashed'

Check that openssl has ECC support during configure

This allows builds on machines with a crippled openssl to fail early
during configure. Bugfix on 0.2.7.1-alpha, which introduced the
requirement for ECC support. Fixes bug 17109.

Update private ExitPolicy in man page and torrcs for 10727, formatting

Update the definition of the private exit policy in the man page
and torrcs. It didn't get merged correctly into the man page, and
it was incomplete in the torrcs. (Unfortunately, we only reject the
primary configured IPv4 and IPv6 addresses, not all configured IPv4
and IPv6 addresses.)

Also fixup msn page formatting errors from changes in tickets 16069
and 17027, mainly unescaped *s.

Add IPv6 syntax to ExitPolicy intro paragraph in man page

Update docs with advice for separate IPv4 and IPv6 exit policies

Advise users how to configure separate IPv4 and IPv6 exit
policies in the manpage and sample torrcs.

Related to fixes in ticket #16069 and #17027. Patch by "teor".
Patch on 2eb7eafc9d78 and a96c0affcb4c (25 Oct 2012),
released in 0.2.4.7-alpha.

fold new entries into changelog for 0.2.7.3

Merge remote-tracking branch 'public/bug17047'

Merge remote-tracking branch 'teor/bug16069-bug17027'

Don't enable SSE2 on X86-64.

This removes a comment presumably introduced for debugging that was left
in accidentally. Bug not in any released version of Tor. Fixes bug
17092.

Merge branch 'bug17027-reject-private-all-interfaces-v2' into bug16069-bug17027

src/test/test_policy.c:
Merged calls to policies_parse_exit_policy by adding additional arguments.
fixup to remaining instance of ~EXIT_POLICY_IPV6_ENABLED.
Compacting logic test now produces previous list length of 4, corrected this.

src/config/torrc.sample.in:
src/config/torrc.minimal.in-staging:
Merged torrc modification dates in favour of latest.

fixup Clarify ambiguous log message in router_add_exit_policy

fixup Only set TAPMP_STAR_IPV6_ONLY if TAPMP_EXTENDED_STAR is set

Also fix a comment.

Log an info-level message for each IP blocked by ExitPolicyRejectPrivate

Log an info-level message containing the reject line added to the
exit policy for each local IP address blocked by ExitPolicyRejectPrivate:
 - Published IPv4 and IPv6 addresses
 - Publicly routable IPv4 and IPv6 interface addresses

ExitPolicyRejectPrivate rejects local IPv6 address and interface addresses

ExitPolicyRejectPrivate now rejects more local addresses by default:
 * the relay's published IPv6 address (if any), and
 * any publicly routable IPv4 or IPv6 addresses on any local interfaces.

This resolves a security issue for IPv6 Exits and multihomed Exits that
trust connections originating from localhost.

Resolves ticket 17027. Patch by "teor".
Patch on 42b8fb5a1523 (11 Nov 2007), released in 0.2.0.11-alpha.

fixup add malformed_list to unit tests from d3358a0a05f6 IPv6 wildcards

The unit tests added in e033d5e90bcb got malformed_list added to
router_parse_addr_policy_item_from_string calls, but unit tests from
subsequent commits didn't get the extra argument until now.

ExitPolicy accept6/reject6 produces IPv6 wildcard addresses only

In previous versions of Tor, ExitPolicy accept6/reject6 * produced
policy entries for IPv4 and IPv6 wildcard addresses.

To reduce operator confusion, change accept6/reject6 * to only produce
an IPv6 wildcard address.

Resolves bug #16069.

Patch on 2eb7eafc9d78 and a96c0affcb4c (25 Oct 2012),
released in 0.2.4.7-alpha.

Warn about redundant torrc ExitPolicy lines due to accept/reject *:*

Tor now warns when ExitPolicy lines occur after accept/reject *:*
or variants. These lines are redundant, and were always ignored.

Partial fix for ticket 16069. Patch by "teor".
Patch on 2eb7eafc9d78 and a96c0affcb4c (25 Oct 2012),
released in 0.2.4.7-alpha.

Ignore accept6/reject6 IPv4, warn about unexpected rule outcomes

When parsing torrc ExitPolicies, we now warn if:
  * an IPv4 address is used on an accept6 or reject6 line. The line is
    ignored, but the rest of the policy items in the list are used.
    (accept/reject continue to allow both IPv4 and IPv6 addresses in torrcs.)
  * a "private" address alias is used on an accept6 or reject6 line.
    The line filters both IPv4 and IPv6 private addresses, disregarding
    the 6 in accept6/reject6.

When parsing torrc ExitPolicies, we now issue an info-level message:
  * when expanding an accept/reject * line to include both IPv4 and IPv6
    wildcard addresses.

In each instance, usage advice is provided to avoid the message.

Partial fix for ticket 16069. Patch by "teor".
Patch on 2eb7eafc9d78 and a96c0affcb4c (25 Oct 2012),
released in 0.2.4.7-alpha.

Add get_interface_address[6]_list for a list of interface IP addresses

Add get_interface_address[6]_list by refactoring
get_interface_address6. Add unit tests for new and existing functions.

Preparation for ticket 17027. Patch by "teor".
Patch on 42b8fb5a1523 (11 Nov 2007), released in 0.2.0.11-alpha.

Update comments about ExitPolicy parsing

Fix incomplete and incorrect comments.

Comment changes only.

Convince coverity that we do not have a particular memory leak

Use SSL_get_client_ciphers() on openssl 1.1+, not SSL_get_ciphers...

(which isn't correct.)

Fixes bug 17047; bugfix on 0.2.7.2-alpha, introduced by the merge in
0030765e04d8dfe3dfaf8124b01a4d578b7d8ceb, apparently.

Add a rend cache failure info dup function

When validating a new descriptor against our rend cache failure, we were
added the failure entry to the new cache entry without duplicating. It was
then freed just after the validation ending up in a very bad memory state
that was making tor abort(). To fix this, a dup function has been added and
used just before adding the failure entry.

Fixes #17041

Signed-off-by: David Goulet <dgoulet@ev0ke.net>

Merge remote-tracking branch 'public/ed25519_hup_v2'

Merge remote-tracking branch 'teor/make-test-network-all'

Merge remote-tracking branch 'teor/configure-use-colon'

fixup Some slower configurations need 35 seconds to bootstrap

Some slower configurations, like OS X i386, need 35 seconds to reliably
bootstrap larger chutney networks. Increase default bootstrap time in
src/test/test-network.h to 35 seconds.

Use : rather than /bin/true in configure.ac

Some platforms have true at different locations, like /usr/bin/true.

Bump default test-network bootstrap time to 35 sec (see 16953)

Merge remote-tracking branch 'yawning/feature15482_fixup'

Check NoKeepAliveIsolateSOCKSAuth in a better place.

No functional changes, but since NoKeepAliveIsolateSOCKSAuth isn't
part of isoflag, it should be checked where all other similar options
are, and bypass the (no-op) masking at the end.

Fold changes files into changelog

Fix warnings from lintChanges

changes file for 16953

Merge remote-tracking branch 'teor/make-test-network-all'

Increase default boostrap time in test-network.sh

Increase default boostrap time in test-network.sh to 30 seconds,
for larger networks like bridges+ipv6+hs.

This avoids the failure-hiding issues inherent in the retry approach
in #16952.

Make NoKeepAliveIsolateSOCKSAuth work as expected

Merge branch 'feature15482_squashed'

Add `KeepAliveIsolateSOCKSAuth` as a SOCKSPort option.

This controls the circuit dirtyness reset behavior added for Tor
Browser's user experience fix (#15482). Unlike previous iterations
of this patch, the tunable actually works, and is documented.

make test-network-all exit 1 if any test network fails

Merge branch 'bug16980'

Handle negative inputs to crypto_random_time_range().

(These inputs are possible when Shadow starts the world at time_t 0,
and breaks our assumption that Tor didn't exist in the 1970s.)

Fixes regression introduced in 241e6b09. Fixes #16980.

Add "make test-network-all" to verify multiple test networks

make test-network-all is Makefile target which verifies a series
of test networks generated using test-network.sh and chutney.

It runs IPv6 and mixed version test networks if the prerequisites are
available.

Each test network reports PASS, FAIL, or SKIP.
Closes ticket 16953. Patch by "teor".

Also adds "--hs-multi-client 1" option to TEST_NETWORK_FLAGS.
This resolves #17012.

Larger networks, such as bridges+hs, may fail until #16952 is merged.

Make test-network.sh more robust against arguments containing spaces

Never ever try to load the secret key if offline_master is set

(Not even if we can't find the public key.)

Add "OfflineMasterKey" option

When this is set, and Tor is running as a relay, it will not
generate or load its secret identity key.  You can manage the secret
identity key with --keygen.  Implements ticket 16944.

Fix an alignment issue in our extensions to ed25519_donna

Apparently this only happens with clang (or with some particular
clang versions), and only on i386.

Fixes 16970; bug not in any released Tor.

Found by Teor; fix from Yawning.

Fix windows test_keygen.sh. This time I think I have it!

Now normalize_exit has a bug number.

Use absolute path for datadir in test_keygen.sh

Try to fix #16974; bug not in any released version

Make test_keygen.sh dump what the problem is on cmp failure

Only return 0..255 from main().

I think this may fix some bugs with windows exit codes being screwy.

Add a little more output to test_keygen.sh: try to debug windows

Add doc/WritingTests.txt to distribution

Merge remote-tracking branch 'dgoulet/bug15963_026_01'

Don't vote HSDir if we aren't voting Fast

Fixes #15963

Signed-off-by: David Goulet <dgoulet@ev0ke.net>

Fix crashes in tests

Prohibit the use of one entry node with an HS

In a nutshell, since a circuit can not exit at its entry point, it's very
easy for an attacker to find the hidden service guard if only one EntryNodes
is specified since for that guard, the HS will refuse to build a rendezvous
circuit to it.

For now, the best solution is to stop tor to allow a single EntryNodes for
an hidden service.

Fixes #14917

Signed-off-by: David Goulet <dgoulet@ev0ke.net>

Let recent relays run with the chutney sandbox.

Fixes 16965

Let bridge authorities run under the sandbox

(found thanks to teor's chutney haxx)