Add unit tests that check for common RNG failure modes

Check that crypto_rand doesn't return all zeroes, identical values,
or incrementing values (OpenSSL's rand_predictable feature).

Add a changes file for bug 17686

Fix documentation for crypto_rand*

Now that crypto_rand() cannot fail, it should return void.

Add crypto-initializer functions to those whose return values must be checked

Make crypto_seed_rng() and crypto_rand() less scary.

These functions must really never fail; so have crypto_rand() assert
that it's working okay, and have crypto_seed_rng() demand that
callers check its return value.  Also have crypto_seed_rng() check
RAND_status() before returning.

Include netinet/in.h (if detected) in check for net/pfvar.h

Patch from rubiate; fixes bug 17551.

Fix: use the right list in find_expiring_intro_point()

The wrong list was used when looking up expired intro points in a rend
service object causing what we think could be reachability issues and
triggering a BUG log.

Fixes #16702

Signed-off-by: David Goulet <dgoulet@ev0ke.net>

bump version to 0.2.7-dev

Bump to 0.2.7.5

Note that you can use a unix domain socket for hsport

Merge remote-tracking branch 'public/bug17404_024' into maint-0.2.7

Fix the return value

Merge remote-tracking branch 'public/bug17404_024' into maint-0.2.7

Check for len < 4 in dn_indicates_v3_cert

Without this check, we potentially look up to 3 characters before
the start of a malloc'd segment, which could provoke a crash under
certain (weird afaik) circumstances.

Fixes 17404; bugfix on 0.2.6.3-alpha.

Fix a memory leak in reading an expired ed signing key.

Closes 17403.

Whoops; infinite recursion

Fix memory leak in rend_cache_failure_entry_free()

Bug 17402.

Fix an (unreachable) memory leak in rendcache.c

The 0.2.8 unit tests provoke this leak, though I don't think it can
happen IRL.

Fix a use-after-free in validate_intro_point_failure. Bug 17401. Found w valgrind

Fix a memory leak; bug 17398.

Bump version to 0.2.7.4-rc

tweak some changes files

Merge remote-tracking branch 'origin/maint-0.2.6' into maint-0.2.7

Add hidserv-stats filname to our sandbox filter

Fixes #17354

Signed-off-by: David Goulet <dgoulet@ev0ke.net>

Fix compilation of sandbox.[ch] under musl-libc

Patch from jamestk; fix on 0.2.5.1-alpha. Fixes 17347.

Merge remote-tracking branch 'origin/maint-0.2.6' into maint-0.2.7

Merge remote-tracking branch 'origin/maint-0.2.5' into maint-0.2.6

Merge remote-tracking branch 'origin/maint-0.2.4' into maint-0.2.5

Update geoip and geoip6 to the October 9 2015 database.

Make get_ifaddrs tests more tolerant of unusual network configs

* Don't assume that every test box has an IPv4 address
* Don't assume that every test box has a non-local address

Resolves issue #17255 released in unit tests in 0.2.7.3-rc.

Work around openssl declaring x509_get_not{Before,After} as functions

Now that x509_get_not{Before,After} are functions in OpenSSL 1.1
(not yet releasesd), we need to define a variant that takes a const
pointer to X509 and returns a const pointer to ASN1_time.

Part of 17237. I'm not convinced this is an openssl bug or a tor
bug. It might be just one of those things.

Fix 17251: avoid integer overflow in test_crypto_slow

fix compilation; mark test fns static

Fix past changelog spelling again!

go back in time to fix a changelog entry. Fix for 17165

Socks->SOCKS in torrcs. Fixes 15609

Add checks and unit tests for get_interface_address* failure

Ensure that either a valid address is returned in address pointers,
or that the address data is zeroed on error.

Ensure that free_interface_address6_list handles NULL lists.

Add unit tests for get_interface_address* failure cases.

Fixes bug #17173.
Patch by fk/teor, not in any released version of tor.

get_interface_address6_list(): Bring back a return code check

... that was removed by 31eb486c46 which first appeared in
0.2.7.3-rc.

If tor is running in a ElectroBSD (or FreeBSD) jail it can't
get any IP addresses that aren't assigned to the jail by
looking at the interfaces and (by design) the
get_interface_address6_via_udp_socket_hack() fallback doesn't
work either.

The missing return code check resulted in tor_addr_is_internal()
complaining about a "non-IP address of type 49", due to reading
uninitialised memory.

Fixes #17173.

Changes file for bug17154

No spaces around = in variable assignment

BSD make takes spaces around = literally
and produces a "TESTING_TOR_BINARY "
variable with a trailing space, which leads
to test_keygen.sh failure.

Fixes 17154

Add changes file for bug17151

FreeBSD needs -lexecinfo to get backtrace()

Skip tests if backtrace support not compiled-in

FreeBSD needs -lexecinfo to fully support
backtrace reporting.

Bump to 0.2.7.3-rc-dev

A day has passed.

Add test-network.sh to EXTRA_DIST

Make our digest-mismatch warnings a touch better

Merge branch 'bug17149'

Include some content when exporting abs_top_srcdir and builddir

FreeBSD make demands this.

Put braces around reject-lines for IPv6 addrs

Fixes bug 17149; bug not in any released Tor.

fold 17148 into changelog

Add more quotes in the test scripts

Stop trying to generate test scripts via autoconf substitution.

Use environment variables instead. This repairs 'make distcheck',
which was running into trouble when it tried to chmod the generated
scripts.

Fixes 17148.

fix tor-fw-helper url

Changelog: more clarity and fixing

Increment version.

Now I have a number here. (Had to use OSX becaue of #17146)

fold 17135 into changelog

Merge branch 'underpinning_squashed'

changes file and manpage entry for AuthDirPinKeys

Fold new entries into changelog

Reformat the changelog

more edits to the changelog

Merge remote-tracking branch 'origin/maint-0.2.6'

Merge remote-tracking branch 'origin/maint-0.2.5' into maint-0.2.6

Merge remote-tracking branch 'origin/maint-0.2.4' into maint-0.2.5

Update geoip and geoip6 to the September 3 2015 database.

various changelog entry rewrites/revisions

New AuthDirPinKeys option to enable/disable keypinning enforcement

Implements ticket #17135.  We're going to need this one to avoid
chaos as everybody figures out how ed25519 keys work.

Extract the add-or-replace-keypin logic into a new function

We're about to need to call it in another place too.

Allow conflicts to occur in keypinning journal

When we find a conflict in the keypinning journal, treat the new
entry as superseding all old entries that overlap either of its
keys.

Also add a (not-yet-used) configuration option to disable keypinning
enforcement.

some changelog work

add a README to src/config

add more clang checkers; find no new bugs.

scan-build is more mature now; no need to hardcode the one in my /opt/clang-3.4

Fix a memory leak in router_parse_addr_policy_item_from_string.  CID 1324770

Merge branch 'feature16769_squashed'

Remove --master-key form the changes file

Disable --master-key as not-yet-working for 0.2.7

Add a --master-key option

This lets the user override the default location for the master key
when used with --keygen

Part of 16769.

Add a new --newpass option to add or remove secret key passphrases.

Merge branch 'feature16944_v2'

Sort changelog entries a little more

Merge branch 'bug17109_v2_squashed'

Check that openssl has ECC support during configure

This allows builds on machines with a crippled openssl to fail early
during configure. Bugfix on 0.2.7.1-alpha, which introduced the
requirement for ECC support. Fixes bug 17109.

Update private ExitPolicy in man page and torrcs for 10727, formatting

Update the definition of the private exit policy in the man page
and torrcs. It didn't get merged correctly into the man page, and
it was incomplete in the torrcs. (Unfortunately, we only reject the
primary configured IPv4 and IPv6 addresses, not all configured IPv4
and IPv6 addresses.)

Also fixup msn page formatting errors from changes in tickets 16069
and 17027, mainly unescaped *s.

Add IPv6 syntax to ExitPolicy intro paragraph in man page

Update docs with advice for separate IPv4 and IPv6 exit policies

Advise users how to configure separate IPv4 and IPv6 exit
policies in the manpage and sample torrcs.

Related to fixes in ticket #16069 and #17027. Patch by "teor".
Patch on 2eb7eafc9d78 and a96c0affcb4c (25 Oct 2012),
released in 0.2.4.7-alpha.

fold new entries into changelog for 0.2.7.3

Merge remote-tracking branch 'public/bug17047'

Merge remote-tracking branch 'teor/bug16069-bug17027'

Don't enable SSE2 on X86-64.

This removes a comment presumably introduced for debugging that was left
in accidentally. Bug not in any released version of Tor. Fixes bug
17092.

Merge branch 'bug17027-reject-private-all-interfaces-v2' into bug16069-bug17027

src/test/test_policy.c:
Merged calls to policies_parse_exit_policy by adding additional arguments.
fixup to remaining instance of ~EXIT_POLICY_IPV6_ENABLED.
Compacting logic test now produces previous list length of 4, corrected this.

src/config/torrc.sample.in:
src/config/torrc.minimal.in-staging:
Merged torrc modification dates in favour of latest.

fixup Clarify ambiguous log message in router_add_exit_policy

fixup Only set TAPMP_STAR_IPV6_ONLY if TAPMP_EXTENDED_STAR is set

Also fix a comment.

Log an info-level message for each IP blocked by ExitPolicyRejectPrivate

Log an info-level message containing the reject line added to the
exit policy for each local IP address blocked by ExitPolicyRejectPrivate:
 - Published IPv4 and IPv6 addresses
 - Publicly routable IPv4 and IPv6 interface addresses

ExitPolicyRejectPrivate rejects local IPv6 address and interface addresses

ExitPolicyRejectPrivate now rejects more local addresses by default:
 * the relay's published IPv6 address (if any), and
 * any publicly routable IPv4 or IPv6 addresses on any local interfaces.

This resolves a security issue for IPv6 Exits and multihomed Exits that
trust connections originating from localhost.

Resolves ticket 17027. Patch by "teor".
Patch on 42b8fb5a1523 (11 Nov 2007), released in 0.2.0.11-alpha.

fixup add malformed_list to unit tests from d3358a0a05f6 IPv6 wildcards

The unit tests added in e033d5e90bcb got malformed_list added to
router_parse_addr_policy_item_from_string calls, but unit tests from
subsequent commits didn't get the extra argument until now.

ExitPolicy accept6/reject6 produces IPv6 wildcard addresses only

In previous versions of Tor, ExitPolicy accept6/reject6 * produced
policy entries for IPv4 and IPv6 wildcard addresses.

To reduce operator confusion, change accept6/reject6 * to only produce
an IPv6 wildcard address.

Resolves bug #16069.

Patch on 2eb7eafc9d78 and a96c0affcb4c (25 Oct 2012),
released in 0.2.4.7-alpha.