Add getinfo accepted-server-descriptor. Clean spec.

Add a "getinfo status/accepted-server-descriptor" controller
command, which is the recommended way for controllers to learn
whether our server descriptor has been successfully received by at
least on directory authority. Un-recommend good-server-descriptor
getinfo and status events until we have a better design for them.

Only send reachability status events on overall success/failure

We were telling the controller about CHECKING_REACHABILITY and
REACHABILITY_FAILED status events whenever we launch a testing
circuit or notice that one has failed. Instead, only tell the
controller when we want to inform the user of overall success or
overall failure. Bugfix on 0.1.2.6-alpha. Fixes bug 1075. Reported
by SwissTorExit.

Only send netinfo clock_skew to controller if an authority told us so

We were triggering a CLOCK_SKEW controller status event whenever
we connect via the v2 connection protocol to any relay that has
a wrong clock. Instead, we should only inform the controller when
it's a trusted authority that claims our clock is wrong. Bugfix
on 0.2.0.20-rc; starts to fix bug 1074. Reported by SwissTorExit.

extremely infinite? who talks like that?

nobody forward-ported the 0.2.0.35 changelog

Merge commit 'phobos/vidalia-bundle-updates-maint-0.2.1' into maint-0.2.1

update osx-dmg creation directions for the new methods

Fix a rare infinite-recursion bug when shutting down.

Once we had called log_free_all(), anything that tried to log a
message (like a failed tor_assert()) would fail like this:

   1. The logging call eventually invokes the _log() function.
   2. _log() calls tor_mutex_lock(log_mutex).
   3. tor_mutex_lock(m) calls tor_assert(m).
   4. Since we freed the log_mutex, tor_assert() fails, and tries to
      log its failure.
   5. GOTO 1.

Now we allocate the mutex statically, and never destroy it on
shutdown.

Bugfix on 0.2.0.16-alpha, which introduced the log mutex.

This bug was found by Matt Edman.

update fetch-all with dir auth

Fix possible segmentation fault on directory authorities.

The more verbose logs that were added in ee58153 also include a string
that might not have been initialized. This can lead to segfaults, e.g.,
when setting up private Tor networks. Initialize this string with NULL.

Send sendmes when we're down 100 cells, not 101.

Send circuit or stream sendme cells when our window has decreased
by 100 cells, not when it has decreased by 101 cells. Bug uncovered
by Karsten when testing the "reduce circuit window" performance
patch. Bugfix on the 54th commit on Tor -- from July 2002,
before the release of Tor 0.0.0. This is the new winner of the
oldest-bug prize.

directory-archive scripts now fetch from urras too

Set up urras as the seventh v3 directory authority.

Merge commit 'karsten/hsauth-manpage-maint-0.2.1' into maint-0.2.1

add geoip file to uninstall

add receipts to be wiped.

Make configuration of hidden services with authorization somewhat clearer.

Cleaner fix for get_effective_bw(rate|burst), with comment on why it is ok.

Merge commit 'debian-tor-0.2.1.19-1' into maint-0.2.1

Mention that this closes #538960 in the changelog

Merge branch 'debian-merge' into debian

* debian-merge:
  New upstream version
  bump to 0.2.1.19
  document my new relay-early behavior
  Changing MaxAdvertisedBW may not need a republish
  Write fingerprint to file and log without spaces
  Don't leak memory if we get too many create cells
  three hacks to workaround bug 1038

New upstream version

Merge commit 'tor-0.2.1.19' into debian-merge

* commit 'tor-0.2.1.19':
  bump to 0.2.1.19
  document my new relay-early behavior
  Changing MaxAdvertisedBW may not need a republish
  Write fingerprint to file and log without spaces
  Don't leak memory if we get too many create cells
  three hacks to workaround bug 1038

credit optimist for the bug 1038 diagnosis

also bring the release notes up to date

Fix a signed/unsigned compile warning in 0.2.1.19

bump to 0.2.1.19

document my new relay-early behavior

Changing MaxAdvertisedBW may not need a republish

Relays no longer publish a new server descriptor if they change
their MaxAdvertisedBandwidth config option but it doesn't end up
changing their advertised bandwidth numbers. Bugfix on 0.2.0.28-rc;
fixes bug 1026. Patch from Sebastian.

Write fingerprint to file and log without spaces

Now it will look like the fingerprints in our bridges documentation,
and confuse fewer users.

Don't leak memory if we get too many create cells

Specifically, every time we get a create cell but we have so many already
queued that we refuse it.

Bugfix on 0.2.0.19-alpha; fixes bug 1034. Reported by BarkerJr.

three hacks to workaround bug 1038

The problem is that clients and hidden services are receiving
relay_early cells, and they tear down the circuit.

Hack #1 is for rendezvous points to rewrite relay_early cells to
relay cells. That way there are never any incoming relay_early cells.

Hack #2 is for clients and hidden services to never send a relay_early
cell on an established rendezvous circuit. That works around rendezvous
points that haven't upgraded yet.

Hack #3 is for clients and hidden services to not tear down the circuit
when they receive an inbound relay_early cell. We already refuse extend
cells at clients.

Merge branch 'debian-merge' into debian

* debian-merge:
  New upstream version
  bump to 0.2.1.18
  put in the full 0.2.1 release notes
  add a changelog entry for the upcoming 0.2.1.18
  make phobos's lines start with tabs again
  added LIBS=-lrt to Makefile.am for static libevent in the tor rpms.
  forward-port the 0.2.0.35 release notes
  add blurbs for recent release candidates
  Bump version to 0.2.1.17-rc-dev

New upstream version

Merge commit 'tor-0.2.1.18' into debian-merge

* commit 'tor-0.2.1.18':
  bump to 0.2.1.18
  put in the full 0.2.1 release notes
  add a changelog entry for the upcoming 0.2.1.18
  make phobos's lines start with tabs again
  added LIBS=-lrt to Makefile.am for static libevent in the tor rpms.
  forward-port the 0.2.0.35 release notes
  add blurbs for recent release candidates
  Bump version to 0.2.1.17-rc-dev

bump to 0.2.1.18

put in the full 0.2.1 release notes

add a changelog entry for the upcoming 0.2.1.18

make phobos's lines start with tabs again

in case Make on openirix128 can't handle it otherwise

added LIBS=-lrt to Makefile.am for static libevent in the tor rpms.

forward-port the 0.2.0.35 release notes

add blurbs for recent release candidates

Merge commit 'debian-tor-0.2.1.17-rc-1' into maint-0.2.1

Release 0.2.1.17-rc-1

Merge branch 'debian-merge' into debian

* debian-merge: (21 commits)
  Bump version to 0.2.1.17-rc
  Make "Invalid onion hostname" msg respect SafeLogging.
  updated rpm instructions for realtime libevent.
  Revise 0.2.1.17-rc changelog.
  Make an attempt to fix bug 1024.
  Update the year for the copyright statement in two more files
  another minor patch to add to 0.2.1.x
  and give the bug 969 fixes a changelog
  the third piece of bug 969 fixing
  the second piece of bug 969 fixing
  the first piece of bug 969 fixing
  Have eventdns set the "truncated" bit correctly.
  stop capping bandwidths we see in the consensus
  Added ChangeLog entry for control port fix
  Ignore control port commands after a QUIT
  Flush long replies over control port on QUIT
  add a changelog entry: clients use bw in consensus
  Clients now use bandwidth values in the consensus
  Serve DirPortFrontPage even if the write bucket is low.
  Add warning that the results of --enable-geoip-stats are different from those in master.
  ...

Merge commit 'tor-0.2.1.17-rc' into debian-merge

* commit 'tor-0.2.1.17-rc': (21 commits)
  Bump version to 0.2.1.17-rc
  Make "Invalid onion hostname" msg respect SafeLogging.
  updated rpm instructions for realtime libevent.
  Revise 0.2.1.17-rc changelog.
  Make an attempt to fix bug 1024.
  Update the year for the copyright statement in two more files
  another minor patch to add to 0.2.1.x
  and give the bug 969 fixes a changelog
  the third piece of bug 969 fixing
  the second piece of bug 969 fixing
  the first piece of bug 969 fixing
  Have eventdns set the "truncated" bit correctly.
  stop capping bandwidths we see in the consensus
  Added ChangeLog entry for control port fix
  Ignore control port commands after a QUIT
  Flush long replies over control port on QUIT
  add a changelog entry: clients use bw in consensus
  Clients now use bandwidth values in the consensus
  Serve DirPortFrontPage even if the write bucket is low.
  Add warning that the results of --enable-geoip-stats are different from those in master.
  ...

Bump version to 0.2.1.17-rc-dev

Bump version to 0.2.1.17-rc

Make "Invalid onion hostname" msg respect SafeLogging.

Patch by Roger; fixes bug 1027.

updated rpm instructions for realtime libevent.

Revise 0.2.1.17-rc changelog.

Make an attempt to fix bug 1024.

The internal error "could not find intro key" occurs when we want to send
an INTRODUCE1 cell over a recently finished introduction circuit and think
we built the introduction circuit with a v2 hidden service descriptor, but
cannot find the introduction key in our descriptor.

My first guess how we can end up in this situation is that we are wrong in
thinking that we built the introduction circuit based on a v2 hidden
service descriptor. This patch checks if we have a v0 descriptor, too, and
uses that instead.

Update the year for the copyright statement in two more files

another minor patch to add to 0.2.1.x

  o Minor features:
    - If we're a relay and we change our IP address, be more verbose
      about the reason that made us change. Should help track down
      further bugs for relays on dynamic IP addresses.

and give the bug 969 fixes a changelog

the third piece of bug 969 fixing

when we write out our stability info, detect relays that have slipped
through the cracks. log about them and correct the problem.

if we continue to see a lot of these over time, it means there's another
spot where relays fall out of the routerlist without being marked as
unreachable.

the second piece of bug 969 fixing

whenever we remove a relay from the main routerlist, tell the
rephist module that it's no longer running.

the first piece of bug 969 fixing

tell the rephist module that a given relay is down whenever
we determine that it's down, not just when we thought it used
to be up.

Have eventdns set the "truncated" bit correctly.

Fixed bug 1022; This isn't actually a live bug in Tor, since in Tor
we never generate large DNS replies.

Update upstream URL in debian/copyright

stop capping bandwidths we see in the consensus

but continue capping bandwidths we see in local server
descriptors, if we have no consensus weights for them.

Added ChangeLog entry for control port fix

Ignore control port commands after a QUIT

When a QUIT has been issued on a control port connection, then
ignore further commands on that port. This fixes bug 1016.

Flush long replies over control port on QUIT

Marks the control port connection for flushing before closing when
the QUIT command is issued. This allows a QUIT to be issued during
a long reply over the control port, flushing the reply and then
closing the connection. Fixes bug 1015.

add a changelog entry: clients use bw in consensus

Clients now use bandwidth values in the consensus

rather than the bandwidth values in each relay descriptor. This approach
opens the door to more accurate bandwidth estimates once the directory
authorities start doing active measurements. Implements more of proposal
141.

Serve DirPortFrontPage even if the write bucket is low.

arma's rationale: "I think this is a bug, since people intentionally
set DirPortFrontPage, so they really do want their relay to serve that
page when it's asked for. Having it appear only sometimes (or roughly
never in Sebastian's case) makes it way less useful."

Fixes bug 1013; bugfix on 0.2.1.8-alpha.

Add warning that the results of --enable-geoip-stats are different from those in master.

Merge commit 'weasel/debian' into maint-0.2.1

Bump version to 0.2.1.16-rc.dev

Release 0.2.1.16-rc-1

Merge branch 'debian-merge' into debian

* debian-merge: (33 commits)
  Forward port 06_add_compile_time_defaults
  New upstream version
  Bump version to 0.2.1.16-rc
  prepare changelog for 0.2.1.16-rc
  Better fix for 997.
  Revert "Backport fix for bug 997."
  tor-resolve: Don't automatically refuse .onion addresses.
  Backport fix for bug 997.
  Revise earlier check for correct IPv4 addr length to check for ==4.
  Check answer_len in the remap_addr case of process_relay_cell_not_open.
  update requirements to openssl 0.9.7
  Missing changelog entry about geoip
  Move and fix a changelog entry.  Noticed by optimist.
  Avoid a memory corruption problem related to "private" in DirPolicy.
  Update the rest of the geoip file.
  Update the geoip file
  Fix gprof bottlenecks on exit nodes found by Jacob.
  Do not report a node as a "chosen exit" when it is not in fact an exit.
  Make the second argument to routerset_contains_extendinfo const
  Don't attempt to log messages to a controller from a worker thread.
  ...

Forward port 06_add_compile_time_defaults

New upstream version

Merge commit 'tor-0.2.1.16-rc' into debian-merge

* commit 'tor-0.2.1.16-rc': (31 commits)
  Bump version to 0.2.1.16-rc
  prepare changelog for 0.2.1.16-rc
  Better fix for 997.
  Revert "Backport fix for bug 997."
  tor-resolve: Don't automatically refuse .onion addresses.
  Backport fix for bug 997.
  Revise earlier check for correct IPv4 addr length to check for ==4.
  Check answer_len in the remap_addr case of process_relay_cell_not_open.
  update requirements to openssl 0.9.7
  Missing changelog entry about geoip
  Move and fix a changelog entry.  Noticed by optimist.
  Avoid a memory corruption problem related to "private" in DirPolicy.
  Update the rest of the geoip file.
  Update the geoip file
  Fix gprof bottlenecks on exit nodes found by Jacob.
  Do not report a node as a "chosen exit" when it is not in fact an exit.
  Make the second argument to routerset_contains_extendinfo const
  Don't attempt to log messages to a controller from a worker thread.
  Clean up a bit of C logic, and fix an erroneous warning.
  Consider *ListenAddress when warning about low ports and hibernation
  ...

Bump version to 0.2.1.16-rc

prepare changelog for 0.2.1.16-rc

Better fix for 997.

Revert "Backport fix for bug 997."

This reverts commit 3847f54945933a11d14053b80427f268ffcfd8ad.

tor-resolve: Don't automatically refuse .onion addresses.

If the Tor is running with AutomapHostsOnResolve set, it _is_
reasonable to do a DNS lookup on a .onion address.  So instead we make
tor-resolve willing to try to resolve anything.  Only if Tor refuses
to resolve it do we suggest to the user that resolving a .onion
address may not work.

Fix for bug 1005.

Backport fix for bug 997.

Backporting 6a32beb and ca8708a.

Revise earlier check for correct IPv4 addr length to check for ==4.

We need this to match the check in connection_ap_handshake_socks_resolved().

Found by optimist.

Check answer_len in the remap_addr case of process_relay_cell_not_open.

Fix an edge case where a malicious exit relay could convince a
controller that the client's DNS question resolves to an internal IP
address. Bug found and fixed by "optimist"; bugfix on 0.1.2.8-beta.

update requirements to openssl 0.9.7

Missing changelog entry about geoip

Move and fix a changelog entry.  Noticed by optimist.

Avoid a memory corruption problem related to "private" in DirPolicy.

This is a posible fix for bug 996.

Update the rest of the geoip file.

Update the geoip file

Fix gprof bottlenecks on exit nodes found by Jacob.

Apparently all the stuff that does a linear scan over all the DNS
cache entries can get really expensive when your DNS cache is very
large.  It's hard to say how much this will help performance, since
gprof doesn't count time spent in OpenSSL or zlib, but I'd guess 10%.

Also, this patch removes calls to assert_connection_ok() from inside
the read and write callbacks, which are similarly unneeded, and a
little costlier than I'm happy with.

This is probably worth backporting to 0.2.0.

Do not report a node as a "chosen exit" when it is not in fact an exit.

Provide a useful warning when launch_circuit tries to make us use a
node we don't want to use.  Just give an info message when this is a
normal and okay situation.  Fix for logging issues in bug 984.

Make the second argument to routerset_contains_extendinfo const

Update versioned build time dependency on debhelper

Change debhelper compatibility version from 4 to 5

Update Standards-Version 3.8.1

Update Standards-Version from 3.8.0 to 3.8.1.  No real changes required, we
already support nocheck in DEB_BUILD_OPTIONS since August 2004, and we already
create our var/run directory in the init script (tho we now no longer ship it
either - see above).

Remove /var/run/tor from package.

Stop shipping /var/run/tor in the package.  Only clean up permissions of
/var/run/tor in postinst if the directory actually exists.

Be quiet when creating /var/run/tor.

No longer inform the user if/when we re-create the /var/run/tor directory in
the init script.  With /var/run on tmpfs this is completely normal now so our
message was just noise.

Don't attempt to log messages to a controller from a worker thread.

This patch adds a function to determine whether we're in the main
thread, and changes control_event_logmsg() to return immediately if
we're in a subthread.  This is necessary because otherwise we will
call connection_write_to_buf, which modifies non-locked data
structures.

Bugfix on 0.2.0.x; fix for at least one of the things currently
called "bug 977".

Change build time dependency on gs to ghostscript.

New upstream version

Clean up a bit of C logic, and fix an erroneous warning.

(Simplify "if (cond) return 1; return 0;" to "return cond;", and don't
give a warning when we start with accounting on but dirport off.)