ci: Pin TPA runners for now

For unknown reasons, the non TPA runners lead to this failure:

slow/process/callbacks:
  FAIL ../../src/test/test_process_slow.c:157: assert(timer_tick_count OP_LT 10): 10 vs 10
  FAIL ../../src/test/test_process_slow.c:188: assert(ret OP_EQ 0): -1 vs 0
  FAIL ../../src/test/test_process_slow.c:240: assert(smartlist_len(process_data->stdout_data) OP_EQ 12): 0 vs 12
  [callbacks FAILED]

slow/process/nonexistent_executable: Sep 30 13:29:58.340 [err] tor_assertion_failed_(): Bug: ../../src/core/mainloop/mainloop.c:750: shutdown_did_not_work_callback: Assertion line should be unreached failed; aborting. (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug: Tor 0.4.8.18-dev: Assertion line should be unreached failed in shutdown_did_not_work_callback at ../../src/core/mainloop/mainloop.c:750: . Stack trace: (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(log_backtrace_impl+0x57) [0x5648f4b4fef7] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(tor_assertion_failed_+0x147) [0x5648f4b5d837] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(+0x1b3676) [0x5648f4b0b676] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     /lib/x86_64-linux-gnu/libevent-2.1.so.7(+0x21482) [0x7f75a879c482] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     /lib/x86_64-linux-gnu/libevent-2.1.so.7(event_base_loop+0x49f) [0x7f75a879cc1f] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(+0x1b4024) [0x5648f4b0c024] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(run_main_loop_until_done+0x35) [0x5648f4b0fa45] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(+0x81d3d) [0x5648f49d9d3d] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(+0x82237) [0x5648f49da237] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(+0x9aeb4) [0x5648f49f2eb4] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(testcase_run_one+0x72) [0x5648f49f2f82] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(tinytest_main+0x104) [0x5648f49f3814] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(main+0x493) [0x5648f49d32c3] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     /lib/x86_64-linux-gnu/libc.so.6(+0x2724a) [0x7f75a803724a] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     /lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0x85) [0x7f75a8037305] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(_start+0x21) [0x5648f49d33e1] (on Tor 0.4.8.18-dev )

It is unclear why this is being triggered only on 0.4.8 and non TPA runners
(not happening on main) thus for now pin the runners until we either figure
this one out or deprecate 0.4.8

Signed-off-by: David Goulet <dgoulet@torproject.org>

Fix log integer format

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-gitlab/mr/937' into maint-0.4.8

maint: fix formatting of changes file (v2)

flow-ctrl: fix line length warnings

maint: fix formatting of changes file

Merge branch 'tor-gitlab/mr/936' into maint-0.4.8

geoip: Upgrade crates to their latest

Signed-off-by: David Goulet <dgoulet@torproject.org>

geoip: Fix cargo clippy warning

Signed-off-by: David Goulet <dgoulet@torproject.org>

flow-ctrl: improve log line

flow-ctrl: add XOFF grace period

This is meant to reduce the number of XOFF sent, especially on conflux
circuits.

flow-ctrl: indentation-only change

This is an intermediate commit to hopefully make reviewing easier. Adds
indentation and a `{}` scope.

Reorder TLS group preferences to work around LibreSSL bug

version: Bump version to 0.4.8.18-dev

version: Bump version to 0.4.8.18

fallbackdir: Update list generated on September 16, 2025

Update geoip files to match ipfire location db, 2025/09/16.

Fix test_parseconf on MaxHSDirCacheBytes default

Change the logic to evaluate the default when fetching the value, matching
other default options like ExtORPortCookieAuthFile.

Merge branch 'tor-gitlab/mr/927' into maint-0.4.8

circ: Free conflux pending nonce if nonce is untracked

This can happen if we loose track of the nonce and a circuit with it is
repurposed.

Without this, it would lead to a non fatal assert on a control port circuit
event of puporse change.

Related to #41037

Signed-off-by: David Goulet <dgoulet@torproject.org>

config: Fix wide comment

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge remote-tracking branch 'mikeperry-private/ticket41006_copilot_piecewise' into maint-0.4.8

Merge branch 'tor-gitlab/mr/917' into maint-0.4.8

Make thread control POSIX compliant

Closes issue #41109

Preparation of `tor_sleep_msec()`

- Update `tor_sleep_msec()` with `nanosleep()` function
- Make `tor_sleep_msec()` available outside of unit tests

Revert "Make thread control POSIX compliant"

This reverts commit bd461eb92048d7dd13ba25dbdafb1fd5440c071c.

Make thread control POSIX compliant

Closes issue #41109

Logging / Compression

Add compression factor to the "Detected possible compression bomb ..."
warning.

changes: Add file for padding log fix

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-gitlab/mr/908' into maint-0.4.8

Fix: "Bug: Duplicate call to circuit_mark_for_close()"

Second attempt

Closes issues #41106, #40951

geoip: Fix Rust clippy warning

Signed-off-by: David Goulet <dgoulet@torproject.org>

version: Bump version to 0.4.8.17-dev

version: Bump version to 0.4.8.17

fallbackdir: Update list generated on June 30, 2025

Update geoip files to match ipfire location db, 2025/06/30.

tls: Set TLSv1.3 ciphers to preserve ciphersuites order

This commit fixes two issues:

1. ciphers.inc has TLSv1.3 ciphers prefixed with "TXT", while current version
   has "RFC". TLS1_3_RFC_AES_128_GCM_SHA256 should be instead of
   TLS1_3_TXT_AES_128_GCM_SHA256, in both define and CIPHER() macro.

2. Tor calls only SSL_set_cipher_list() in tlstls_openssl.c, this sets only
   TLSv1.2 ciphers, while TLSv1.3 ciphers stay in default state. TLSv1.3
   ciphersuites are set with SSL_set_ciphersuites(), but the list require to
   contain only TLSv1.3 suites (no v1.2).

Contrary to SSL_set_cipher_list(), TLSv1.3 SSL_set_ciphersuites() does NOT
accept finalizing :, so it should be stripped out.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Logging / Channel padding delay

Reduce the amount of messages being logged related to
channel padding delay when log level is "notice".
Log the channel padding delay as "info" as soon as the
delay occurs. Log "notice" on each heartbeat only
containing the average channel padding delay and the
amount of delays (that exceeded the allowed time window)
occurring between heartbeats or, if first heartbeat
since startup, between startup and heartbeat.

Merge branch 'tor-gitlab/mr/910' into maint-0.4.8

Unix processes / Obtain exit status code

The actual way for obtaining the exit code
of an exited child process

Merge branch 'tor-gitlab/mr/903' into maint-0.4.8

Fix: "Bug: Duplicate call to circuit_mark_for_close()"

Closes issue #40951

log "list of supported TLS groups" only once

We had been logging it every two hours forever, even though it's based
on the version of OpenSSL we're using it so it will never change.

Fixes bug #41093.

The fix is an improvement on commit ba88ad6b which addressed #41058.

Not adding a changes file since those commits haven't gone out in a
release yet either.

Add ratelimit log for hsdesc pruning during oomkiller

Changes file

Add manpage entry for MaxHSDirCacheBytes.

Persist n_downloaded counter for lifetime of HS key.

Add check of MaxHSDirCacheBytes every hsdesc upload

Add a new hsdir max bytes config

Merge branch 'tor-gitlab/mr/894' into maint-0.4.8

Make an exception to one of the NONSTRINGs

Older GCCs accept the attribute but don't believe it can appear
before an array.

Add a changes file for 41079.

Fix a new GCC warning about strings.

When we say something like

```
const char foo[3] = "foo";
```

GCC now complains, because there is no space for the terminating NUL.
But we use this construction in a lot of places in our tests to
initialize test digests, keys, and so on.  So to resolve the issue,
we have to mark these strings with a new attribute.

Convince gcc that we will not access an array out of bounds

reindent code from previous commit

Allow pow-params to appear multiple times.

Relatedly, we only require that a pow-params line has _1_ argument
(since future versions might have nothing but a scheme).

See torspec#272 for discussion;
also see proposal 356 for why the fingerprinting opportunity here
isn't a big deal.

We probably shouldn't merge this until torspec!390 is in,
just in case we decide _not_ to take this approach.

(I haven't reindented some code here yet, to make the diff easier to read.)

crypt_openssl_mgt: define DISABLE_ENGINES after OPENSSL_NO_ENGINE

With LibreSSL-3.8.1 these engines are no long available causing a build
failure, but LibreSSL correctly defines OPENSSL_NO_ENGINE as part of its
opensslfeatures.h. However Tor includes crypto_openssl_mgt.h before any
of the openssl includes which would define OPENSSL_NO_ENGINE and then
fails to define DISABLE_ENGINES.

As the define is used in only a single .c file it is best to move it
there.

Signed-off-by: orbea <orbea@riseup.net>

compat_openssl: fix for LibreSSL 4.1.0

Starting with LibreSSL 4.1.0 this now causes a build failure:

src/lib/tls/tortls_openssl.c: In function 'tor_tls_setup_session_secret_cb':
src/lib/tls/tortls_openssl.c:1059:39: error: passing argument 2 of 'SSL_set_session_secret_cb' from incompatible pointer type [-Wincompatible-pointer-types]
 1059 |   SSL_set_session_secret_cb(tls->ssl, tor_tls_session_secret_cb, NULL);
      |                                       ^~~~~~~~~~~~~~~~~~~~~~~~~
      |                                       |
      |                                       int (*)(SSL *, void *, int *, struct stack_st_SSL_CIPHER *, SSL_CIPHER **, void *) {aka int (*)(struct ssl_st *, void *, int *, struct stack_st_SSL_CIPHER *, struct ssl_cipher_st **, void *)}
In file included from src/lib/tls/tortls_openssl.c:48:
/usr/include/openssl/ssl.h:1489:30: note: expected 'tls_session_secret_cb_fn' {aka 'int (*)(struct ssl_st *, void *, int *, struct stack_st_SSL_CIPHER *, const struct ssl_cipher_st **, void *)'} but argument is of type 'int (*)(SSL *, void *, int *, struct stack_st_SSL_CIPHER *, SSL_CIPHER **, void *)' {aka 'int (*)(struct ssl_st *, void *, int *, struct stack_st_SSL_CIPHER *, struct ssl_cipher_st **, void *)'}
 1489 |     tls_session_secret_cb_fn tls_session_secret_cb, void *arg);
      |     ~~~~~~~~~~~~~~~~~~~~~~~~~^~~~~~~~~~~~~~~~~~~~~

Signed-off-by: orbea <orbea@riseup.net>

Promote "list of supported groups" message to notice.

I have a feeling that this might help diagnosing
any other problems similar to #41058.

Only try more complex OpenSSL group list syntax with OpenSSL 3.5.

Closes #41058.

TLS: When possible, enable ML-KEM768.

Closes ticket 41041.

Correctly detect error from SSL_CTX_set1_groups_list.

Previously our code was checking for '< 0', but the error return value for
this function _is_ zero.

Remove TOR_TLS_USE_ECDHE_P* flags.

They have been unused since 0.3.1.1-alpha, when we removed the
TLSECGroups option.

Make two 1-bit fields unsigned

This should be a completely harmless warning as we only check whether
the fields are true or false.

Closes #40911.

(Backported by nickm so that I can compile 0.4.8 without warnings.)

Fix: Crash on SIGSEGV if at least one worker thread cannot be launched

Perform a clean shutdown in case worker threads cannot be lauched.

Merge branch 'tor-gitlab/mr/874' into maint-0.4.8

Merge branch 'fix/memleaks-cpuworker' into 'maint-0.4.8'

Re: Coverity report Oct 31st, 2024 (Issue #40991)

See merge request tpo/core/tor!844

Re: Coverity report Oct 31st, 2024 (Issue #40991)

conflux: Avoid non fatal assert in CIRCUIT_IS_CONFLUX()

In the circuit_about_to_free(), we clear the circ->conflux object and then we
end up trying to emit an event on the control port which calls
CIRCUIT_IS_CONFLUX() and non fatal assert on the false branch.

Fixes #41037

Signed-off-by: David Goulet <dgoulet@torproject.org>

Require FlowCtrl=1 (authenticated sendmes) for clients

This will cause clients before 0.4.1.1-alpha to shut down.

Part of #40836.

protover: Vote for additional protocols to be required/recommended

Note that the changes here will require all relays
to be 0.4.7.4-alpha or later, which is lower than
our current lowest-supported relay version.

Part of #40836.

fix two comment typos from 0.4.8.15

version: Bump version to 0.4.8.16-dev

version: Bump version to 0.4.8.16

Update geoip files to match ipfire location db, 2025/03/24.

dirauth: Fix typo in flag relay assignment token

Unfortunately, we wanted to be able to control the Guard flag here but the
token used mentionned "exit" instead.

Oh well, s*** happens :).

Fixes #41035

Signed-off-by: David Goulet <dgoulet@torproject.org>

version: Bump version to 0.4.8.15-dev

version: Bump version to 0.4.8.15

fallbackdir: Update list generated on March 20, 2025

Update geoip files to match ipfire location db, 2025/03/20.

Bug 41023 changes file

hs: Never pick a MiddleOnly node for HS circuit purposes

Related to #41023

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs: Remove HSv3 rendezvous circuit flag used for node selection

This was put in when HSv2 and v3 were co-existing. Now, the network requires
HSRend=2 which is v3 by default.

This is a simple cleanup of an internal flag used to identify a launch of a
RPv3 circuit.

Related to #41023

Signed-off-by: David Goulet <dgoulet@torproject.org>

Provide dirauth ability to strip specific flags.

CI: Add changes file related to 41029.

CI: Enable venv before running ci-driver.sh for Chutney.

CI: Install python3-venv.

CI: Use local pip instead of python3-pip.

CI: Disable redundant-decls warnings for NSS in crypto_nss_mgt.c.

CI: Install libclang-rt-dev when build with hardening enabled.

CI: Install libubsan1 when building with hardening enabled.

CI: Use bookworm instead of bullseye.

CI: use a fixed version of chutney

While chutney currently runs tor's chutney test in its own CI,
it's difficult to guarantee the two won't accidentally diverge.
Probably best to use a fixed version here so that we can control
chutney version bumps and avoid surprise breakage in tor's CI.

This will also free us to intentionally make breaking changes in
chutney (though I don't have any immediate plans for any).

CI: Remove physical tags from gitlab-ci runner requirements.

scripts: Remove 0.4.7 from list tor branches

Not maintained anymore.

Signed-off-by: David Goulet <dgoulet@torproject.org>

fix sandbox for bandwidth authority

Ticket 40872: Changes file

Ticket 40872: Output conflux nonce and circ rtt to control port

Ticket 40872: Add conflux helper functions for control port info

version: Bump version to 0.4.8.14-dev