Avoid casting smartlist index implicitly

Merge remote-tracking branch 'rl1987/doc25237'

Merge branch 'maint-0.3.3'

Merge branch 'bug26121-033-squashed' into maint-0.3.3

Bug 26121: Improve BUILDTIMEOUT_SET accuracy.

We were miscounting the total number of circuits for the TIMEOUT_RATE and
CLOSE_RATE fields of this event.

Merge branch 'bug25939_034_01_squashed'

hs-v3: Build onion address before registering ephemeral service

With the work on #25500 (reducing CPU client usage), the HS service main loop
callback is enabled as soon as the HS service map changes which happens when
registering a new service.

Unfortunately, for an ephemeral service, we were building the onion address
*after* the registration leading to the "service->onion_address` to be an
empty string.

This broke the "HS_DESC CREATED" event which had no onion address in it. And
also, we were logging an empty onion address for that service.

Fixes #25939

Signed-off-by: David Goulet <dgoulet@torproject.org>

Point reader to a section in tor-spec.txt

Fix various typos

Merge branch 'maint-0.3.3'

Merge remote-tracking branch 'public/bug25691_033_again_squashed' into maint-0.3.3

Merge branch 'maint-0.3.3'

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'bug26116_033' into maint-0.3.3

Merge branch 'bug26116_029' into maint-0.2.9

Add a unit test for PEM-encrypted documents.

Merge branch 'appveyor_min_034_v2'

Merge branch 'bug26156_034'

Update version to 0.3.3.6-dev

remove the now-duplicate 0.3.3.6 stanzas

copy changelog and releasenotes from 0.3.3.6

Merge branch 'maint-0.3.3'

"ours" merge to avoid version bump.

forward-port all those changelog changes

reorder 0.3.3.3-alpha changelog

(it came out before 0.3.2.10, because 0.3.2.10 has backports from it)

Merge branch 'maint-0.3.3'

Merge branch 'trove-2018-005_032' into maint-0.3.3

avoid a signed/unsigned comparison.

Merge branch 'maint-0.3.3'

Make the TROVE-2018-005 fix work with rust.

Merge branch 'maint-0.3.3'

Merge branch 'trove-2018-005_032' into maint-0.3.3

uint breaks compilation on windows

Merge branch 'maint-0.3.3'

"ours" merge to avoid version bump

version bump to 0.3.3.6

Merge branch 'trove-2018-005_034'

Merge branch 'maint-0.3.3'

"Ours" merge to avoid the maint-0.3.3 version of the TROVE-2018-005
fix, which touches the files in their old locations.

fix wide lines

changes file for TROVE-2018-005

vote: TROVE-2018-005 Make DirAuths omit misbehaving routers from their vote.

rust: Mirror TROVE-2018-005 fix in Rust protover implementation.

 * REFACTORS `UnvalidatedProtoEntry::from_str` to place the bulk of the
   splitting/parsing logic in to a new
   `UnvalidatedProtoEntry::parse_protocol_and_version_str()` method (so that
   both `from_str()` and `from_str_any_len()` can call it.)
 * ADD a new `UnvalidatedProtoEntry::from_str_any_len()` method in order to
   maintain compatibility with consensus methods older than 29.
 * ADD a limit on the number of characters in a protocol name.
 * FIXES part of #25517: https://bugs.torproject.org/25517

protover: TROVE-2018-005 Fix potential DoS in protover protocol parsing.

In protover.c, the `expand_protocol_list()` function expands a `smartlist_t` of
`proto_entry_t`s to their protocol name concatenated with each version number.
For example, given a `proto_entry_t` like so:

    proto_entry_t *proto = tor_malloc(sizeof(proto_entry_t));
    proto_range_t *range = tor_malloc_zero(sizeof(proto_range_t));

    proto->name = tor_strdup("DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa");
    proto->ranges = smartlist_new();

    range->low = 1;
    range->high = 65536;

    smartlist_add(proto->ranges, range);

(Where `[19KB]` is roughly 19KB of `"a"` bytes.)  This would expand in
`expand_protocol_list()` to a `smartlist_t` containing 65536 copies of the
string, e.g.:

    "DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa=1"
    "DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa=2"
    […]
    "DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa=65535"

Thus constituting a potential resource exhaustion attack.

The Rust implementation is not subject to this attack, because it instead
expands the above string into a `HashMap<String, HashSet<u32>` prior to #24031,
and a `HashMap<UnvalidatedProtocol, ProtoSet>` after).  Neither Rust version is
subject to this attack, because it only stores the `String` once per protocol.
(Although a related, but apparently of too minor impact to be usable, DoS bug
has been fixed in #24031. [0])

[0]: https://bugs.torproject.org/24031

 * ADDS hard limit on protocol name lengths in protover.c and checks in
   parse_single_entry() and expand_protocol_list().
 * ADDS tests to ensure the bug is caught.
 * FIXES #25517: https://bugs.torproject.org/25517

rust: Mirror TROVE-2018-005 fix in Rust protover implementation.

 * REFACTORS `UnvalidatedProtoEntry::from_str` to place the bulk of the
   splitting/parsing logic in to a new
   `UnvalidatedProtoEntry::parse_protocol_and_version_str()` method (so that
   both `from_str()` and `from_str_any_len()` can call it.)
 * ADD a new `UnvalidatedProtoEntry::from_str_any_len()` method in order to
   maintain compatibility with consensus methods older than 29.
 * ADD a limit on the number of characters in a protocol name.
 * FIXES part of #25517: https://bugs.torproject.org/25517

Merge branch 'trove-2018-005_032' into trove-2018-005_033

changes file for TROVE-2018-005

Add stdbool to protover.h. Only needed for the 032 backport

vote: TROVE-2018-005 Make DirAuths omit misbehaving routers from their vote.

protover: TROVE-2018-005 Fix potential DoS in protover protocol parsing.

In protover.c, the `expand_protocol_list()` function expands a `smartlist_t` of
`proto_entry_t`s to their protocol name concatenated with each version number.
For example, given a `proto_entry_t` like so:

    proto_entry_t *proto = tor_malloc(sizeof(proto_entry_t));
    proto_range_t *range = tor_malloc_zero(sizeof(proto_range_t));

    proto->name = tor_strdup("DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa");
    proto->ranges = smartlist_new();

    range->low = 1;
    range->high = 65536;

    smartlist_add(proto->ranges, range);

(Where `[19KB]` is roughly 19KB of `"a"` bytes.)  This would expand in
`expand_protocol_list()` to a `smartlist_t` containing 65536 copies of the
string, e.g.:

    "DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa=1"
    "DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa=2"
    […]
    "DoSaaaaaaaaaaaaaaaaaaaaaa[19KB]aaa=65535"

Thus constituting a potential resource exhaustion attack.

The Rust implementation is not subject to this attack, because it instead
expands the above string into a `HashMap<String, HashSet<u32>` prior to #24031,
and a `HashMap<UnvalidatedProtocol, ProtoSet>` after).  Neither Rust version is
subject to this attack, because it only stores the `String` once per protocol.
(Although a related, but apparently of too minor impact to be usable, DoS bug
has been fixed in #24031. [0])

[0]: https://bugs.torproject.org/24031

 * ADDS hard limit on protocol name lengths in protover.c and checks in
   parse_single_entry() and expand_protocol_list().
 * ADDS tests to ensure the bug is caught.
 * FIXES #25517: https://bugs.torproject.org/25517

Add a missing include to get the declaration of OPENSSL_1_1_API

Apparently, even though I had tested on OpenSSL 1.1.1 with
no-deprecated, OpenSSL 1.1.0 is different enough that I should have
tested with that as well.

Fixes bug 26156; bugfix on 0.3.4.1-alpha where we first declared
support for this configuration.

Merge branch 'appveyor_min_029_v2' into appveyor_min_034_v2

changes file for appveyor support

Appveyor configuration files.

Original by Marcin Cieślak, with modifications from Isis Lovecruft
and Nick Mathewson.

Merge branch 'bug26101_26102'

remove already-merged changes file

Merge branch 'maint-0.3.3'

Fix a crash bug when testing reachability

Fixes bug 25415; bugfix on 0.3.3.2-alpha.

Python script for IRC notifications from appveyor

Original by Christopher Wood, with modifications by nexB, Isis
Lovecruft, and Marcin Cieślak.

Whoops -- add an entry I missed to the 0.3.4.1-alpha changelog

bump to 0.3.4.1-alpha-dev

increment changelog date

Bump version to 0.3.4.1-alpha; contemplate a release

Add comments explaining when a connected cell has an UNSPEC addr

Should prevent other bugs like 26117.

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Merge branch 'bug26072_029' into maint-0.2.9

Merge branch 'bug26116_029' into bug26116_033

Return -1 from our PEM password callback

Apparently, contrary to its documentation, this is how OpenSSL now
wants us to report an error.

Fixes bug 26116; bugfix on 0.2.5.16.

Bug 26117: Move CIRC_BW field accounting.

Previously, we used the AF_UNSPEC check to represent valid connected cell
data as a result of the lack of return. This was incorrect.

Merge branch 'maint-0.3.3'

update tor-rust-dependencies submodule

Merge remote-tracking branch 'isis-github/bug26106'

Merge remote-tracking branch 'isis-github/bug26108'

Merge remote-tracking branch 'isis-github/bug26109'

reflow the blurb.

move a changelog entry and try writing a blurb

fix some changelog typos that Catalyst found.

rust: Update rand_core dependency to 0.2.0-pre.0.

rust: Update rand dev-dependency to 0.5.0-pre.2.

various changelog edits

rust: Export digests subcrate from our crypto crate.

rust: Export crypto_rand::* functions from our external crate.

rust: Move rand crate into crypto parent crate.

rust: Make Rng::new() methods public.

run format-changelog

use sortChanges to begin an 0.3.4.1-alpha changelog

Merge branch 'maint-0.3.3'

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.2.9' into maint-0.3.1

Update geoip and geoip6 to the May 1 2018 database.

Update cov-diff to handle new gcov, and remove timestamps

The new gcov sometimes emits *s if there is a line containing
multiple basic blocks, and some are not executed.  (The gcov
documentation says something weird about this point, so I'm trying
to interpret it into the compilerese that I'm familiar with.)
That's bug 26101.

Also, when we're looking for unique variations in our coverage, we
would like cov-diff to suppress timestamps on the diffs.  That's bug
26102.

Both of these are bugfixes on 0.2.5.1-alpha when the cov-diff script
was introduced.

My apologies for the perl.

Add a missing return after marking a stream for bad connected cell

Fixes bug 26072; bugfix on 0.2.4.7-alpha.

Merge branch 'bug25903_v5_squashed'

Bug 25903: Tests

Use router_get_my_routerinfo_with_err to implement the old version

Having one function implemented in terms of the other should keep
them from diverging.

follow-up on #25852

Merge remote-tracking branch 'rl1987/bug25852_take2'

Merge remote-tracking branch 'catalyst-github/bug25756'

improve a URL