When downloading certificates, distinguish requesting by identity digest from requesting by ID digest, signing key pair; fixes bug 5595

Implement fp_pair_map_t

Merge branch 'bug8844_v2' into maint-0.2.3

Don't run off the end of the array-of-freelists

This is a fix for bug 8844, where eugenis correctly notes that there's
a sentinel value at the end of the list-of-freelists that's never
actually checked.  It's a bug since the first version of the chunked
buffer code back in 0.2.0.16-alpha.

This would probably be a crash bug if it ever happens, but nobody's
ever reported something like this, so I'm unsure whether it can occur.
It would require write_to_buf, write_to_buf_zlib, read_to_buf, or
read_to_buf_tls to get an input size of more than 32K.  Still, it's a
good idea to fix this kind of thing!

Avoid busy-looping on WANTREAD within connection_handle_write

Fix for bug 5650.  Also, if we get a WANTREAD while reading while
writing, make sure we're reading.

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Update to the April 2013 GeoIP database.

Merge remote-tracking branch 'public/bug8377' into maint-0.2.3

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Update to the March 2013 GeoIP database.

Add unit test for tor_addr_is_loopback

Make sure that [::1] is recognized as a private address

Fixes bug 8377; bugfix on 0.2.1.3-alpha.

oops; add a missing semicolon

(Cherry-picked from fc35ee4910326dc1ae718482b30e57666a71df85)

Check whether ei is non-NULL before altering it.

This fixes a crash bug if we fail to generate an extrainfo
descriptor.

Fixes bug 8208; bugfix on 0.2.3.16-alpha.

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Update to the February 2013 GeoIP database.

Merge branch 'bug7889_023' into maint-0.2.3

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Reject create/begin/etc cells with {circ,stream}ID 0.

Otherwise, it's possible to create streams or circuits with these
bogus IDs, leading to orphaned circuits or streams, or to ones that
can cause bandwidth DOS problems.

Fixes bug 7889; bugfix on all released Tors.

Update to the January 2013 GeoIP database.

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Add link explaining how the geoip file was created.

Update to the December 2012 GeoIP database.

Update to the November 2012 GeoIP database.

use a more logical operator

Fix a harmless bug when opting against publishing a relay descriptor
because DisableNetwork is set.

Fixes bug 7464; bugfix on 0.2.3.9-alpha.

Turn a memwipe in tor_process_handle_destroy() back to memset

It broke linking on tor-resolve.c, and it's not actually sanitizing
anything sensitive.  Fix for bug 7420; bug not on ony released Tor.

Merge branch 'bug7352_023_rebased' into maint-0.2.3

Add and use and unlikely-to-be-eliminated memwipe()

Apparently some compilers like to eliminate memset() operations on
data that's about to go out-of-scope.  I've gone with the safest
possible replacement, which might be a bit slow.  I don't think this
is critical path in any way that will affect performance, but if it
is, we can work on that in 0.2.4.

Fixes bug 7352.

Fix a remotely triggerable assertion failure (CVE-2012-2250)

If we completed the handshake for the v2 link protocol but wound up
negotiating the wong protocol version, we'd become so confused about
what part of the handshake we were in that we'd promptly die with an
assertion.

This is a fix for CVE-2012-2250; it's a bugfix on 0.2.3.6-alpha.
All servers running that version or later should really upgrade.

Bug and fix from "some guy from France."  I tweaked his code slightly
to make it log the IP of the offending node.

Make unit test for bug7191 work with new smartlist_new() name

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Add some unit tests for smartlist_bsearch_idx() on short lists

Conflicts:
src/test/test_containers.c

Add a changes file for bug 7191.

Fix binary search on lists of 0 or 1 element.

The implementation we added has a tendency to crash with lists of 0 or
one element.  That can happen if we get a consensus vote, v2
consensus, consensus, or geoip file with 0 or 1 element.  There's a
DOS opportunity there that authorities could exploit against one
another, and which an evil v2 authority could exploit against anything
downloading v2 directory information..

This fix is minimalistic: It just adds a special-case for 0- and
1-element lists.  For 0.2.4 (the current alpha series) we'll want a
better patch.

This is bug 7191; it's a fix on 0.2.0.10-alpha.

Let 0.2.3 clients exit to internal addresses if they want

Clients now consider the ClientRejectInternalAddresses config option
when using a microdescriptor consensus stanza to decide whether
an exit relay would allow exiting to an internal address. Fixes
bug 7190; bugfix on 0.2.3.1-alpha.

Fix parse_short_policy (bug 7192.)

Our implementation of parse_short_policy was screwed up: it would
ignore the last character of every short policy.  Obviously, that's
broken.

This patch fixes the busted behavior, and adds a bunch of unit tests
to make sure the rest of that function is okay.

Fixes bug 7192; fix on 0.2.3.1-alpha.

add a unit test to expose bug 7192

Merge branch 'block_renegotiate_023' into maint-0.2.3

Merge branch 'bug7149' into maint-0.2.3

Don't serve or accept v2 HS descs over a DirPort

(changes file tweaked by nickm)

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Disable TLS Session Tickets, which we were apparently getting for free

OpenSSL 1.0.0 added an implementation of TLS session tickets, a
"feature" that let session resumption occur without server-side state
by giving clients an encrypted "ticket" that the client could present
later to get the session going again with the same keys as before.
OpenSSL was giving the keys to decrypt these tickets the lifetime of
the SSL contexts, which would have been terrible for PFS if we had
long-lived SSL contexts.  Fortunately, we don't.  Still, it's pretty
bad.  We should also drop these, since our use of the extension stands
out with our non-use of session cacheing.

Found by nextgens. Bugfix on all versions of Tor when built with
openssl 1.0.0 or later.  Fixes bug 7139.

Discard extraneous renegotiation attempts in the v3 link protocol

Failure to do so left us open to a remotely triggerable assertion
failure. Fixes CVE-2012-2249; bugfix on 0.2.3.6-alpha. Reported by
"some guy from France".

Merge branch 'bug7014_023_squashed' into maint-0.2.3

Don't call fmt_addr() twice in a parameter list.

Merge remote-tracking branch 'arma/bug7037' into maint-0.2.3

Refuse extra create cells with reason "resource limit"

In the past we had used reason "internal", which is more vague than
it needs to be. Resolves bug 7037.

properly free the return values of rate_limit_log()

resolves bug 7022.

add faravahar as our ninth v3 dir auth

Clarify that hidden services are TCP only

Also remove some trailing whitespace.

Patch from maker; fixes bug 6024.

Whitespace fixes

Bug 6866: Convert pathbias asserts into log messages.

Asserts were hit by Tor2Web mode.

Use file-size-fixup code on cygwin too.

We already had code on windows to fix our file sizes when we're
reading a file in text mode and its size doesn't match the size from
fstat.  But that code was only enabled when _WIN32 was defined, and
Cygwin defines __CYGWIN__ instead.

Fixes bug 6844; bugfix on 0.1.2.7-alpha.

Fix man page typo

mention the bug number in the 6827 changes file

Avoid undefined behaviour when parsing HS protocol versions

Fixes bug 6827; bugfix on c58675ca728f12b42f65e5b8964ae695c2e0ec2d
(when the v2 HS desc parser was implemented).

Found by asn.

Revert "6819: typo in torrc.sample.in"

This reverts commit 4aff97cfc7965414ad8506ce28a296da1bc4a161.

We don't actually want to be changing the torrc.sample on stable or
near-stable stuff, since doing so makes pointless busywork for debian
users.

Merge remote-tracking branch 'public/bug6341_a_v2' into maint-0.2.3

6819: typo in torrc.sample.in

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Conflicts:
src/test/test_util.c

Merge branch 'timegm_assert_v3_squashed' into maint-0.2.2

Fix assertion failure in tor_timegm.

Fixes bug 6811.

Avoid segfault when reading state file from ancient tor

If s_values is null in rep_hist_load_bwhist_state_section, we would
call smartlist_len() on it, and die.

Fixes bug 6801.

Update the minimum bandwidth for a public relay

The current cutoff is 30KB, but in reality a useful cutoff is probably
more like 50KB or 100KB.

Avoid segfault if EntryGuardPathBias precedes EntryGuard

Fix for bug 6774; bugfix on 0.2.3.17-beta.

Merge remote-tracking branch 'arma/bug6743' into maint-0.2.3

fix whitespace and trivial typo

Make begindir_cutoff the same as general_cutoff

Allow one-hop directory fetching circuits the full "circuit build timeout"
period, rather than just half of it, before failing them and marking
the relay down. This fix should help reduce cases where clients declare
relays (or worse, bridges) unreachable because the TLS handshake takes
a few seconds to complete.

Fixes bug 6743 (one piece of bug 3443); bugfix on 0.2.2.2-alpha, where
we changed the timeout from a static 30 seconds.

Merge branch 'bug6732' into maint-0.2.3

Document consensus and microdesc files

Bugfix for #6732.

Quiet "Set buildtimeout to low val" warnings: make them info

Fix for #6251

Merge branch 'disable_pathbias_warnings_v2' into maint-0.2.3

Downgrade path-bias warning messages to INFO for now.

We've had over two months to fix them, and didn't.  Now we need
0.2.3.x stable.  Yes, it would be cool to get this working in
0.2.3.x, but not at the expense of delaying every other feature that
_does_ work in 0.2.3.x.  We can do a real fix in 0.2.4.

Merge branch 'bug6710_023' into maint-0.2.3

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Conflicts:
src/or/policies.c

Merge branch 'bug6690_022' into maint-0.2.2

Fix changes file for 6710: before 0.0.8pre1, you couldn't extend to
a router that another router wasn't already connected to.

Do not assert when comparing a null address/port against a policy

This can create a remote crash opportunity for/against directory
authorities.

Disable extending to private/internal addresses by default

This is important, since otherwise an attacker can use timing info
to probe the internal network.

Also, add an option (ExtendAllowPrivateAddresses) so that
TestingTorNetwork won't break.

Fix for bug 6710; bugfix on all released versions of Tor.

Merge remote-tracking branch 'public/bug6472' into maint-0.2.3

Merge remote-tracking branch 'public/bug6404' into maint-0.2.3

whitespace fix

When iterating over connections pending DNS, skip marked ones

Failure to do this would lead to double-free cases and similar,
especially when the exit's DNS was broken. See bug 6472 for full
details; this is a fix for 6472.

Anonymous patch from "cypherpunks" on trac.

Consider IPv6 OR ports when deciding whether a routerinfo change is cosmetic.

Closes #6423.

Merge branch 'bug6379' into maint-0.2.3

Fix more warnings from openbsd_malloc

Apparently, (void)writev is not enough to suppress the "you are
ignoring the return value!" warnings on Linux.  Instead, remove the
whole warning/error logic when compiling openbsd_malloc for Tor: we
can't use it.

Merge remote-tracking branch 'public/bug6244_part_c' into maint-0.2.3

Merge remote-tracking branch 'public/bug6507' into maint-0.2.3

Whitespace and build fixes on 6475 patch

Merge remote-tracking branch 'mikeperry/bug6475' into maint-0.2.3

Merge remote-tracking branch 'public/bug6514' into maint-0.2.3

Address Nick's comments from code review.

Also promote log messages to notice and rate-limit them.

Bug 6475: Explicitly track our path bias state.

This is done to avoid spurious warns. Additional log lines are also
added to try to track down the codepaths where we are somehow overcounting
success counts.

Fix warnings and 64-bit problems in openbsd-malloc code

The warning fixes are:
  - Only define issetugid if it's missing.
  - Explicitly ignore the return value of writev.
  - Explicitly cast the retval of readlink() to int.

The 64-bit problems are related to just storing a size_t in an int. Not cool!  Use a size_t instead.

Fix for bug 6379. Bugfix on 0.2.0.20-rc, which introduced openbsd-malloc.

Fix wildcarded address mappings from the control port

Apparently, we weren't actually detecting wildcardedness when parsing
them: whoops!

bug 6244.  Bugfix on 0.2.3.9-alpha

Raise the part of torrc mapaddress handling that knows wildcards

This patch extracts the inner part of config_register_addressmaps --
the part that knows about detecting wildcard addresses addresses --
and makes it into a new function.  The new function is deliberately
not moved or reindented, so that the diff is smaller.

I need this to fix bug 6244.

Update description of what we did to upper limit on md size

Spotted by asn

Fix memory leak in dirvote_create_microdescriptor

Found by George, who gets a cookie.

Reject attempts to say FooPort and FooPort 0 in the same cfg domain

Fix spaces from last patch