Fix non-triggerable heap corruption at do_getpass().

Add TAGS to gitignore.

Merge remote-tracking branch 'arma/bug20277'

Teach 'make tags' about MOCK_IMPL.

Patch from nherring; closes ticket 16869

Avoid reordering IPv6 interface addresses

When deleting unsuitable addresses in get_interface_address6_list(), to
avoid reordering IPv6 interface addresses and keep the order returned by
the OS, use SMARTLIST_DEL_CURRENT_KEEPORDER() instead of
SMARTLIST_DEL_CURRENT().

This issue was reported by René Mayrhofer.

[Closes ticket 20163; changes file written by teor. This paragraph
added by nickm]

Fix parse_virtual_addr_network minimum network size

remove whitespace accidentally added in 4f1a04ff

remove confusing comment about conditional consensus download

We removed that feature in 0.2.4.2-alpha, but some comments seem to
have lingered.

I didn't add a changes/ file since this is just internal code cleanup.

Fix memory leak from prop264 branch. CID 1373401

fix a warning in protover.

Merge remote-tracking branch 'public/ticket20001_v2'

Merge branch 'protover_v2_squashed'

protovers: during voting, assert that we are not voting to shut down.

As a failsafe, we should make sure that no authority ever votes for
a set of protocol versions that it does not itself support.

Remove version_known, and subtly change the meaning of protocols_known

Rename "proto " to "pr " in consensuses

Update prop264 implementation to split HSMid->HS{Intro,Rend}

prop264: sometimes check client _and_ server versions.

As before, we check server protocols whenever server_mode(options)
is true and we check client protocols whenever server_mode(options)
is false.

Additionally, we now _also_ check client protocols whenever any
client port is set.

Rename get_supported_protocols to protover_get_supported_protocols

Rename compute_protover_vote to protover_compute_vote

Changes file for prop264 / ticket 19958.

Update authority votes to match updated proposal.

Clean whitespace, add missing documentation

Remove DoS vector in protover.c voting code

Use protocols to see when EXTEND2 support exists.

(Technically, we could just remove extend2 cell checking entirely,
since all Tor versions on our network are required to have it, but
let's keep this around as an example of How To Do It.)

Vote on 'proto' lines and include them after 'v' lines.

(Despite the increased size of the consensus, this should have
approximately zero effect on the compressed consensus size, since
the "proto" line should be completely implied by the "v" line.)

Include protocol versions in votes.

Workaround a test bug

Implement voting on the protocol-version options

Include protocol version lines in votes.

Remove a little duplicated code before it becomes a lot

Add code to infer protocol versions for old Tor versions.

Cover the error cases of parsing protocol versions

Also, detect an additional failure type. Thanks, tests!

(How distinctly I recall thee)

Unit tests for protover_all_supported

Basic backend for the protocol-versions voting algorithm.

[This is a brute-force method that potentially uses way too much
RAM. Need to rethink this a little. Right now you can DOS an
authority by saying "Foo=1-4294967295".]

Actually check for missing protocols and exit as appropriate.

Add necessary code to parse and handle required/recommended protocols

Emit and parse protocol lists in router descriptors

checkpoint basic protover backend

Merge branch 'osx_sierra_028'

changes file for osx sierra fixes

Fix pthread_cond_timedwait() on OSX Sierra

Sierra provides clock_gettime(), but not pthread_condattr_setclock.
So we had better lot try to use CLOCK_MONOTONIC as our source for
time when waiting, since we ccan never actually tell the condition
that we mean CLOCK_MONOTONIC.

This isn't a tor bug yet, since we never actually pass a timeout to
tor_cond_wait() outside of the unit tests.

Fix compilation on OSX Sierra (10.12)

Merge branch 'maint-0.2.8'

Bump to 0.2.9.3-alpha-dev

Bump to 0.2.8.8-dev.

Add 0.2.8.8 to ChangeLog

Add 0.2.8.8 to releasenotes

Reflow changelog again

Lightly edit the changelog

Pick a date

Remove changes files that we have folded in

One more changelog entry

Merge branch 'maint-0.2.8'

Merge remote-tracking branch 'teor/broken-028-fallbacks' into maint-0.2.8

Remove another fallback whose operator opted-out

Copy 0.2.8.8 changelog entries forward

Reflow the changelog

sort entries into a changelog.

remove changes files that are also in 0.2.8.8

bump master to 0.2.9.3-alpha

Merge branch 'maint-0.2.8'

Update versions to 0.2.8.8

Merge branch 'maint-0.2.8'

LintChanges fix

Merge branch 'bug20203_027_squashed' into maint-0.2.8

When clearing cells from a circuit for OOM reasons, tell cmux we did so.

Not telling the cmux would sometimes cause an assertion failure in
relay.c when we tried to get an active circuit and found an "active"
circuit with no cells.

Additionally, replace that assert with a test and a log message.

Fix for bug 20203. This is actually probably a bugfix on
0.2.8.1-alpha, specifically my code in 8b4e5b7ee902fb7fa0776 where I
made circuit_mark_for_close_() do less in order to simplify our call
graph. Thanks to "cypherpunks" for help diagnosing.

Coverity warning fix: let coverity tell we're closing sockets

Our use of the (mockable) tor_close_socket() in the util/socket_..
tests confused coverity, which could no longer tell that we were
actually closing the sockets.

Merge branch 'maint-0.2.8'

Fix lintchanges warnings in 028

Fix conflicting types errors for aes.c.

Fix warnings from lintChanges.py

fix crash in lintChanges.py

Changes file for #20190: remove broken fallbacks

Merge remote-tracking branch 'isis/bug20201'

Update documentation for parse_bridge_line() in src/or/config.c.

 * FIXES #20201: https://bugs.torproject.org/20201

Merge branch 'maint-0.2.8'

Merge remote-tracking branch 'public/bug20103_028_v3' into maint-0.2.8

Merge branch 'maint-0.2.8'

fixup! Update hard-coded fallback list based on pre-0.2.9 checks

dns: Always enable DNS request for our DNSPort

Commit 41cc1f612bd2112ab7cec0cc4fdeb68c26e231bf introduced a "dns_request"
configuration value which wasn't set to 1 for an entry connection on the
DNSPort leading to a refusal to resolve the given hostname.

This commit set the dns_request flag by default for every entry connection
made to the DNSPort.

Fixes #20109

Signed-off-by: David Goulet <dgoulet@torproject.org>

Don't look at any routerstatus_t when the networkstatus is inconsistent

For a brief moment in networkstatus_set_current_consensus(), the old
consensus has been freed, but the node_t objects still have dead
pointers to the routerstatus_t objects within it.  During that
interval, we absolutely must not do anything that would cause Tor to
look at those dangling pointers.

Unfortunately, calling the (badly labeled!) current_consensus macro
or anything else that calls into we_use_microdescriptors_for_circuits(),
can make us look at the nodelist.

The fix is to make sure we identify the main consensus flavor
_outside_ the danger zone, and to make the danger zone much much
smaller.

Fixes bug 20103.  This bug has been implicitly present for AGES; we
just got lucky for a very long time.  It became a crash bug in
0.2.8.2-alpha when we merged 35bbf2e4a4e8ccb to make
find_dl_schedule start looking at the consensus, and 4460feaf2850ef0
which made node_get_all_orports less (accidentally) tolerant of
nodes with a valid ri pointer but dangling rs pointer.

Update hard-coded fallback list based on pre-0.2.9 checks

Merge remote-tracking branch 'public/aes256'

Merge remote-tracking branch 'teor/bug20117'

Add support for AES256 and AES192

(This will be used by prop224)

Remove a needless level of indirection from crypto_cipher_t

Now that crypto_cipher_t only contains a pointer, it no longer
has any reason for an independent existence.

Simplify the crypto_cipher_t interface and structure

Previously, the IV and key were stored in the structure, even though
they mostly weren't needed.  The only purpose they had was to
support a seldom-used API where you could pass NULL when creating
a cipher in order to get a random key/IV, and then pull that key/IV
back out.

This saves 32 bytes per AES instance, and makes it easier to support
different key lengths.

In aes.c, support 192-bit and 256-bit keys.

Also, change the input types for aes_new_cipher to be unsigned,
as they should have been all along.

Ensure that dir1 and dir2 are freed at the end of poisoning test

Found by coverity.

Fix a bogus memwipe length in rend_service_load_auth_keys().

Bugfix on a4f46ff8ba43b1e635bc5a8543b9354e6de02e14. Found by Coverity.

Remove an extraneous parenthesis in IF_BUG_OHNCE__

Fixes bug 20141; bugfix on 0.2.9.1-alpha.

Patch from Gisle Vanem.

Merge remote-tracking branch 'teor/feature20072'

Merge branch 'bug20081'

Add some chutney single onion networks to make test-network-all

This requires a recent version of chutney, with the single onion
network flavours (git c72a652 or later).

Closes ticket #20072.

Merge remote-tracking branch 'public/bug20063'

Fix a memory leak in options/validate__single_onion

Fix a check-spaces warning.

options/validate__single_onion test: use new log capture api

I changed the API here in deb294ff532d074a7d4, to be less annoying
to use.

Merge branch 'feature-17178-v7-squashed-v2'

Replace OnionService* with HiddenService* in option names

And make consequential line-length adjustments.