Merge branch 'maint-0.4.1'

Merge branch 'maint-0.4.0' into maint-0.4.1

Merge branch 'maint-0.3.5' into maint-0.4.0

Merge remote-tracking branch 'tor-github/pr/1044' into maint-0.3.5

Merge changed chutney and stem script lines from 29280 with changed
stem script lines from 30591.

Merge branch 'maint-0.4.1'

Merge branch 'maint-0.4.0' into maint-0.4.1

Merge branch 'maint-0.3.5' into maint-0.4.0

Merge branch 'maint-0.2.9' into maint-0.3.5

Merge rust additions in 0.3.5 with sudo deletions in 0.2.9.

Merge remote-tracking branch 'tor-github/pr/1157' into maint-0.4.0

Merge remote-tracking branch 'tor-github/pr/1156' into maint-0.3.5

Merge remote-tracking branch 'tor-github/pr/1155' into maint-0.2.9

Merge remote-tracking branch 'tor-github/pr/991' into maint-0.2.9

Merge remote-tracking branch 'tor-github/pr/1208'

changes file for ticket 31320

Merge remote-tracking branch 'tor-github/pr/1203'

Merge branch 'maint-0.4.1'

Merge branch 'ticket31311_041' into maint-0.4.1

practracker: Make it happy after rebase

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Rename HS DoS default defines

Signed-off-by: David Goulet <dgoulet@torproject.org>

test: Series of fixes for hs_dos.c unit tests

Signed-off-by: David Goulet <dgoulet@torproject.org>

dos: Update HS intro circuits if parameters change

In case the consensus parameters for the rate/burst changes, we need to update
all already established introduction circuits to the newest value.

This commit introduces a "get all intro circ" function from the HS circuitmap
(v2 and v3) so it can be used by the HS DoS module to go over all circuits and
adjust the INTRODUCE2 token bucket parameters.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Add enable/disable HS DoS introduce parameter

Following prop305 values.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Add consensus parameters for DoS defenses

Part of #15516

Signed-off-by: David Goulet <dgoulet@torproject.org>

test: Add hs_dos.c unit tests

Currently test the only available function which is hs_dos_can_send_intro2()
within the HS anti-DoS subsystem.

Closes #15516

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs: Limit the amount of relayed INTRODUCE2

This commit add the hs_dos.{c|h} file that has the purpose of having the
anti-DoS code for onion services.

At this commit, it only has one which is a function that decides if an
INTRODUCE2 can be sent on the given introduction service circuit (S<->IP)
using a simple token bucket.

The rate per second is 25 and allowed burst to 200.

Basic defenses on #15516.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-github/pr/1195'

Merge branch 'tor-github/pr/1193'

#31320 Add IPv6 examples

Rename handle_relay_command to handle_relay_cell_command .

As per David's review.

Test that regular cells get ignored in padding circuits.

Ignore regular cells in padding circuits.

Padding circuits were regular cells that got closed before their padding
machine could finish. This means that they can still receive regular cells from
their past life, but they have no way or reason to answer them anymore. Hence
let's ignore them before they even get to the proper subsystems.

Split connection_edge_process_relay_cell() in two functions.

One function does the validation, the other does the handling.

Merge branch 'maint-0.4.1'

Ignore regular cells in padding circuits.

Padding circuits were regular cells that got closed before their padding
machine could finish. This means that they can still receive regular cells from
their past life, but they have no way or reason to answer them anymore. Hence
let's ignore them before they even get to the proper subsystems.

Adjust test_practracker.sh to work on windows

The required change is to ignore trailing CRs when diffing files.

practracker: Add unit tests to test script, and test script to makefile

This makes all of the practracker tests get run by make check, and
hence by our CI.

Closes ticket 31304.

Port practracker unit tests to python 3

Distribute practracker unit and integration tests.

Merge branch 'ticket31311_041' into ticket31304

make dist: only include files from practracker dir intentionally.

Previously, we included temporary files and whatnot, which is not
good.

Fixes bug 31311; bugfix on 0.4.1.1-alpha.

practracker: add envvar TOR_PRACTRACKER_OPTIONS

We have Makefile.am use this to decide how to invoke practracker on
the Tor source.

Regenerate the practracker exceptions.txt file

practracker: restore exceptions.txt header when running --regen

Merge branch 'tor-github/pr/1177'

practracker: replaces "overstrict" with "overbroad"

I had the logic reversed here.

Lower check of TOR_DISABLE_PRACTRACKER

Since we sometimes call practracker directly, that's where we should
check the TOR_DISABLE_PRACTRACKER envvar.

Practracker: add an integration test.

This test runs practracker with a set of 0 thresholds, to make sure
that it enumerates all its values right.  It tries running with an
empty exceptions file, and with an exceptions file that covers
_some_ of the data, and it makes sure that the outputs are as expected.

practracker: better warning/regen handling

Now that there is only one toplevel place where we print problems,
we can redirect just that one print to a file when we are
regenerating the exceptions.txt file.  Previously we redirected
sys.stdout, which is naughty, and forced us to send warnings (and
warnings alone) to stderr.

Practracker: new flags to control output.

These flags let you suppress the message about the number of
problems and warnings, and let you control the thresholds above
which something counts as a problem.

I need this for testing.

practracker: Remove problemvault global.

practracker: Move the warning/error distinction to a higher level.

Previously warnings were generated by magic inside ProblemVault; now
they're printed on demand.

practracker: Refactor flow to use generators

Instead of having "consider" functions that have to call a global
ProblemVault, we can now generate all the metrics for the code
separately from the decision about what to do for them.

practracker: Rename "Problem" to "Item".

I'm about to refactor the code into a set of iterators that yield
*all* the metrics for the code, and then add a filter on top of that
to return the problems.

Merge branch 'maint-0.4.1'

Merge branch 'tor-github/pr/1179' into maint-0.4.1

Merge branch 'maint-0.4.1'

"ours" to avoid version bump.

bump to 0.4.1.4-rc-dev

forward-port the changelog for 0.4.1.4-rc

Merge branch 'maint-0.4.1'

Fix more 32-bit errors with domain and tt_int_op

Merge branch 'maint-0.4.1'

test: Use a 64-bit comparison for logging domains.

practracker: Make it happing for circuitpadding.c

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.1'

Always check the retval of circpad_machine_current_state().

Remove dead code from circpad_machine_remove_token().

Merge branch 'maint-0.4.1'

Merge branch 'tor-github/pr/1171' into maint-0.4.1

Merge branch 'maint-0.4.1'

"ours" to avoid version bump.

Bump version to 0.4.1.4-rc

Fix clang-detected errors related to log_domain_mask_t

Merge branch 'maint-0.4.1'

Merge branch 'tor-github/pr/1181' into maint-0.4.1

Merge branch 'tor-github/pr/1165'

Merge branch 'ticket24963_042_02'

Add a test for disallowing single-hop introductions.

Code from dgoulet.

Allow NULL circ->p_chan in circuit_is_suitable_for_introduce1()

This shouldn't be possible while Tor is running, but the tests can
hit this code.  Rather than force the tests to add a dummy channel
object, let's just tolerate their incompletely built circuits.

Merge remote-tracking branch 'tor-github/pr/1185'

Merge remote-tracking branch 'tor-github/pr/1186'

Merge branch 'tor-github/pr/1116'

Merge branch 'tor-github/pr/1153'

Merge branch 'maint-0.4.1'

Merge branch 'tor-github/pr/1158' into maint-0.4.1

Changes file for #31113.

Improve circpad documentation.

Patch by Tobias Pulls.

Add changes file for #31112 and #31098.

transition when we send our first padding packet, not on received

remove specified target_hopnum from relay-side machines (only for origin-side machines)

Extract the log_domain_t type to a lower-level header

This way, both err and log may depend on it.

Adjust tor_log.rs for 64-bit log domains.

Set 'routerlist' global to NULL before freeing it.

There is other code that uses this value, and some of it is
apparently reachable from inside router_dir_info_changed(), which
routerlist_free() apparently calls.  (ouch!)  This is a minimal fix
to try to resolve the issue without causing other problems.

Fixes bug 31003. I'm calling this a bugfix on 0.1.2.2-alpha, where
the call to router_dir_info_changed() was added to routerlist_free().

Changes file for bug 31001

Prevent UB on signed overflow.

Overflowing a signed integer in C is an undefined behaviour.
It is possible to trigger this undefined behaviour in tor_asprintf on
Windows or systems lacking vasprintf.

On these systems, eiter _vscprintf or vsnprintf is called to retrieve
the required amount of bytes to hold the string. These functions can
return INT_MAX. The easiest way to recreate this is the use of a
specially crafted configuration file, e.g. containing the line:

FirewallPorts AAAAA<in total 2147483610 As>

This line triggers the needed tor_asprintf call which eventually
leads to an INT_MAX return value from _vscprintf or vsnprintf.

The needed byte for \0 is added to the result, triggering the
overflow and therefore the undefined behaviour.

Casting the value to size_t before addition fixes the behaviour.

Signed-off-by: Tobias Stoeckmann <tobias@stoeckmann.org>

changes file for 30752

Add a TOR_DISABLE_PRACTRACKER envvar for use by folks who don't care

Fixes part of bug 30752

Practracker: add tolerances for exceptions

When an exception is present, we can now violate the limit by a little
bit and only produce a warning.  The strict flag overrides this
behavior.

I've given file sizes a 2% tolerances and function sizes/include
counts a 10% tolerance.

Part of 30752

Practracker: add a --list-overstrict option

This option lists every exception that is stricter than it needs to
be.

Part of 30752

Changes file for 29746.

Practracker: improve exclude-directory logic

Instead of excluding directories at the last minute if they happen
to appear in our filenames, we exclude them early, before recursing
into all their subdirectories.

Part of 29746.

Pracktracker: give the number of new errors found.

Part of 29746.