Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge remote-tracking branch 'ahf-github/maint-0.3.0' into maint-0.3.1

Merge remote-tracking branch 'ahf-github/maint-0.3.1' into maint-0.3.1

Changes file for 26467

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge remote-tracking branch 'ahf-github/maint-0.2.9' into maint-0.2.9

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'feature26372_029' into maint-0.2.9

Fix memory leak in test_sr_setup_commits().

This patch fixes a memory leak in test_sr_setup_commits() where the
place_holder is allocated, but never freed again.

See: Coverity CID 1437440.

Fix memory leak in disk_state_parse_commits().

This patch fixes a memory leak in disk_state_parse_commits() where if
commit is NULL, we continue the internal loop, but without ever freeing
the args variable.

See: Coverity CID 1437441.

Fix memory leak in frac_nodes_with_descriptors().

This patch fixes a memory leak in frac_nodes_with_descriptors() where
we might return without free'ing the bandwidths variable.

See: Coverity CID 1437451.

Fix memory leak in test_channelpadding_consensus().

The relay variable is always allocated, but might not be freed before we
return from this function.

See: Coverity CID 1437431

Fix memory link in test_link_specifier().

This patch fixes a memory leak in test_link_specifier() where ls might
not get freed in case one of the test macros fails.

See: Coverity CID 1437434.

Fix memory leak in decode_link_specifiers().

This patch fixes a memory leak in decode_link_specifiers() where the
hs_spec variable might leak if the default label is taken in the
switch/case expression.

See: Coverity CID 1437437.

Fix memory leak in client_likes_consensus().

This patches fixes a memory leak in client_likes_consensus() where if
consensus_cache_entry_get_voter_id_digests() would fail we would return
without having free'd the voters list.

See: Coverity CID 1437447

Fix potential memory leak in hs_helper_build_hs_desc_impl().

This patch fixes a memory leak in hs_helper_build_hs_desc_impl() where
if a test assertion would fail we would leak the storage that `desc`
points to.

See: Coverity CID 1437448

Fix potential memory leak in test_hs_auth_cookies().

This patch fixes a potential memory leak in test_hs_auth_cookies() if a
test-case fails and we goto the done label where no memory clean up is
done.

See: Coverity CID 1437453

Fix potential memory leak in hs_helper_build_intro_point().

This patch fixes a potential memory leak in
hs_helper_build_intro_point() where a `goto done` is called before the
`intro_point` variable have been assigned to the value of the `ip`
variable.

See: Coverity CID 1437460
See: Coverity CID 1437456

Prefer recent Python 3 in autoconf.

Closes ticket 26372.

Fix changes file for memory leak.

fix memory leak in protover.c

Fix a memory leak where directory authorities would leak a chunk of
memory for every router descriptor every time they considered voting.

This bug was taking down directory authorities in the live network due
to out-of-memory issues.

Fixes bug 26435; bugfix on 0.3.3.6.

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'maint-0.3.2' into maint-0.3.3

Add .editorconfig to follow coding standards style

Fix a bug in my fix for #26258

The fix here is use a different bourne shell subsitution for
CARGO_ONLINE, so that an empty string counts as set.

Merge remote-tracking branch 'public/bug26258_033' into maint-0.3.3

squash! Make sure that the test_rust.sh script fails when a test fails

Also make sure that we're actually running the test from within the right
cwd, like we do when we're building.  This seems necessary to avoid
an error when running offline.

Amusingly, it appears that we had this bug before: we just weren't
noticing it, because of bug 26258.

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.3.2' into maint-0.3.3

Fix an extra space in a changes file

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'bug26158_031' into maint-0.3.1

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'bug25686_diagnostic_032' into maint-0.3.2

bump to 0.3.3.7-dev

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'dannenberg_ipv6_029' into maint-0.2.9

Add a changelog entry.

Add IPv6 orport address for dannenberg.

Bump to 0.3.3.7

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge remote-tracking branch 'teor/bug26272-031' into maint-0.3.1

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.2.9' into maint-0.3.1

Several attempts to diagnose ticket 25686

There are a few reasons that relays might be uploading desciptors
without saying X-Desc-Gen-Reason:
  1. They are running an old version of our software, before 0.3.2.stable.
  2. They are not running our software, but they are claiming they
     are.
  3. They are uploading through a proxy that strips X-Desc-Gen-Reason.
  4. They somehow had a bug in their software.

According to the 25686 data, 1 is the most common reason.  This
ticket is an attempt to diagnose case 4, or prove that case 4
doesn't actually happen.

Update geoip and geoip6 to the June 7 2018 database.

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Avoid out-of-bounds smartlist access in protover_compute_vote()
and contract_protocol_list()

Silence unused-const-variable warnings in zstd.h on some gcc versions

Fixes bug 26272; bugfix on 0.3.1.1-alpha.

Merge branch 'bug26121-033-squashed' into maint-0.3.3

Bug 26121: Improve BUILDTIMEOUT_SET accuracy.

We were miscounting the total number of circuits for the TIMEOUT_RATE and
CLOSE_RATE fields of this event.

Make sure that the test_rust.sh script fails when a test fails

Exit codes from find(1) seem not to be so reliable as we had hoped.

Closes ticket 26258; bugfix on 0.3.3.4-alpha when we fixed #25560

Merge remote-tracking branch 'public/bug25691_033_again_squashed' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'bug26116_033' into maint-0.3.3

Merge branch 'bug26116_029' into maint-0.2.9

Add a unit test for PEM-encrypted documents.

Update version to 0.3.3.6-dev

Merge branch 'trove-2018-005_032' into maint-0.3.3

avoid a signed/unsigned comparison.

Make the TROVE-2018-005 fix work with rust.

Merge branch 'trove-2018-005_032' into maint-0.3.3

uint breaks compilation on windows

version bump to 0.3.3.6

rust: Mirror TROVE-2018-005 fix in Rust protover implementation.

 * REFACTORS `UnvalidatedProtoEntry::from_str` to place the bulk of the
   splitting/parsing logic in to a new
   `UnvalidatedProtoEntry::parse_protocol_and_version_str()` method (so that
   both `from_str()` and `from_str_any_len()` can call it.)
 * ADD a new `UnvalidatedProtoEntry::from_str_any_len()` method in order to
   maintain compatibility with consensus methods older than 29.
 * ADD a limit on the number of characters in a protocol name.
 * FIXES part of #25517: https://bugs.torproject.org/25517

Merge branch 'trove-2018-005_032' into trove-2018-005_033

changes file for TROVE-2018-005

Add stdbool to protover.h. Only needed for the 032 backport

vote: TROVE-2018-005 Make DirAuths omit misbehaving routers from their vote.

protover: TROVE-2018-005 Fix potential DoS in protover protocol parsing.

In protover.c, the `expand_protocol_list()` function expands a `smartlist_t` of
`proto_entry_t`s to their protocol name concatenated with each version number.
For example, given a `proto_entry_t` like so:

    proto_entry_t *proto = tor_malloc(sizeof(proto_entry_t));
    proto_range_t *range = tor_malloc_zero(sizeof(proto_range_t));

    proto->name = tor_strdup("DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa");
    proto->ranges = smartlist_new();

    range->low = 1;
    range->high = 65536;

    smartlist_add(proto->ranges, range);

(Where `[19KB]` is roughly 19KB of `"a"` bytes.)  This would expand in
`expand_protocol_list()` to a `smartlist_t` containing 65536 copies of the
string, e.g.:

    "DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa=1"
    "DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa=2"
    […]
    "DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa=65535"

Thus constituting a potential resource exhaustion attack.

The Rust implementation is not subject to this attack, because it instead
expands the above string into a `HashMap<String, HashSet<u32>` prior to #24031,
and a `HashMap<UnvalidatedProtocol, ProtoSet>` after).  Neither Rust version is
subject to this attack, because it only stores the `String` once per protocol.
(Although a related, but apparently of too minor impact to be usable, DoS bug
has been fixed in #24031. [0])

[0]: https://bugs.torproject.org/24031

 * ADDS hard limit on protocol name lengths in protover.c and checks in
   parse_single_entry() and expand_protocol_list().
 * ADDS tests to ensure the bug is caught.
 * FIXES #25517: https://bugs.torproject.org/25517

Add a missing "return -1" when checking for Ed25519 ID loops

Fixes bug 26158; bugfix on 0.3.0.1-alpha.

Fix a crash bug when testing reachability

Fixes bug 25415; bugfix on 0.3.3.2-alpha.

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'bug26072_029' into maint-0.2.9

Merge branch 'bug26116_029' into bug26116_033

Return -1 from our PEM password callback

Apparently, contrary to its documentation, this is how OpenSSL now
wants us to report an error.

Fixes bug 26116; bugfix on 0.2.5.16.

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Update geoip and geoip6 to the May 1 2018 database.

Add a missing return after marking a stream for bad connected cell

Fixes bug 26072; bugfix on 0.2.4.7-alpha.

Merge branch 'maint-0.3.2' into maint-0.3.3