Re-remove AllowDotExit deprecation.

This was accidentally reintroduced in 5a46074e55.  It should be
harmless, though: the option is obsolete, so calling it deprecated
is redundant.

bump to 0.3.2.4-alpha-dev

Merge remote-tracking branch 'dgoulet/bug24186_032_01' into maint-0.3.2

dirauth: Recalculate voting schedule at first vote

Commit e67f4441eb2646368e3e7cb1bcee403667b786f0 introduced a safeguard against
using an uninitialized voting schedule object. However, the dirvote_act() code
was looking roughly at the same thing to know if it had to compute the timings
before voting with this condition:

  if (!voting_schedule.voting_starts) {
    ...
    dirvote_recalculate_timing(options, now);
  }

The sr_init() function is called very early and goes through the safeguard
thus the voting schedule is always initilized before the first vote.

That first vote is a crucial one because we need to have our voting schedule
aligned to the "now" time we are about to use for voting. Then, the schedule
is updated when we publish our consensus or/and when we set a new consensus.
From that point on, we only want to update the voting schedule through that
code flow.

This "created_on_demand" is indicating that the timings have been recalculated
on demand by another subsystem so if it is flagged, we know that we need to
ignore its values before voting.

Fixes #24186

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge remote-tracking branch 'dgoulet/ticket24134_032_01' into maint-0.3.2

downgrade severity for get_voting_schedule()

Merge remote-tracking branch 'dgoulet/bug23751_032_01' into maint-0.3.2

Merge branch 'bug23318-redux_029' into maint-0.3.2

Stop calculating total twice in frac_nodes_with_descriptors()

Cleanup after 23318.

Check arguments and initialise variables in compute_weighted_bandwidths()

Cleanup after 23318.

Actually log the total bandwidth in compute_weighted_bandwidths()

Fixes bug 24170; bugfix on 0.2.4.3-alpha.

Use node counts in networks with all zero-bandwidths

When calculating the fraction of nodes that have descriptors, and all
all nodes in the network have zero bandwidths, count the number of nodes
instead.

Fixes bug 23318; bugfix on 0.2.4.10-alpha.

Remove an erroneous 0.5 in compute_weighted_bandwidths()

Back in 0.2.4.3-alpha (e106812a778f537), when we switched from using
double to using uint64 for selecting by bandwidth, I got the math
wrong: I should have used llround(x), or (uint64_t)(x+0.5), but
instead I wrote llround(x+0.5).  That means we would always round
up, rather than rounding to the closest integer

Fixes bug 23318; bugfix on 0.2.4.3-alpha.

doc: Put the release timeline link in README

Closes #24134

Signed-off-by: David Goulet <dgoulet@torproject.org>

sched: Ignore closed channel after flushing cells

The flush cells process can close a channel if the connection write fails but
still return that it flushed at least one cell. This is due because the error
is not propagated up the call stack so there is no way of knowing if the flush
actually was successful or not.

Because this would require an important refactoring touching multiple
subsystems, this patch is a bandaid to avoid the KIST scheduler to handle
closed channel in its loop.

Bandaid on #23751.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'bug23816_029_squashed' into maint-0.3.2

Replace our random-exponential-delay algorithm.

This patch has implementations of the "decorrelated" and "full"
algorithms from https://www.awsarchitectureblog.com/2015/03/backoff.html

Revert "Remove an erroneous 0.5 in compute_weighted_bandwidths()"

This reverts commit 01e984870a7e1db2722e85fe43af7bcb4755c2d4.

Merge remote-tracking branch 'dgoulet/bug24161_032_01' into maint-0.3.2

Bump to 0.3.2.4-alpha

Add a safe guard to avoid using a zeroed voting schedule

dirvote_get_next_valid_after_time() is the only public function that uses the
voting schedule outside of the dirvote subsystem so if it is zeroed,
recalculate its timing if we can that is if a consensus exists.

Part of #24161

Signed-off-by: David Goulet <dgoulet@torproject.org>

Recalculate voting schedule first when getting a new consensus

Because the HS and SR subsystems can use the voting schedule early (with the
changes in #23623 making the SR subsystem using the static voting schedule
object), we need to recalculate the schedule very early when setting the new
consensus.

Fixes #24161

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge remote-tracking branch 'asn/ticket23623_032_01' into maint-0.3.2

Add changes file for #23623.

Merge branch 'bug24150_032_squashed' into maint-0.3.2

Fix a memory leak on decryption non-failure of v3 hsdesc

If it decrypts something that turns out to start with a NUL byte,
then decrypt_desc_layer() will return 0 to indicate the length of
its result.  But 0 also indicates an error, which causes the result
not to be freed by decrypt_desc_layer()'s callers.

Since we're trying to stabilize 0.3.2.x, I've opted for the simpler
possible fix here and made it so that an empty decrypted string will
also count as an error.

Fixes bug 24150 and OSS-Fuzz issue 3994.

The original bug was present but unreachable in 0.3.1.1-alpha. I'm
calling this a bugfix on 0.3.2.1-alpha since that's the first version
where you could actually try to decrypt these descriptors.

Fix a 32-bit formatting warning

Merge remote-tracking branch 'public/bug23318_029' into maint-0.3.2

lintchanges: Allow 'fixes bugs a, b, and c'

Merge branch 'bug21394_029' into maint-0.3.2

Fix DNS resolution on busy exit relays

Thanks to Dhalgren who analyzed this issue two years ago and found a
solution!

ticket21031 changes file revised.

ClientDNSRejectInternalAddresses in non-default networks

Once again allow the flag to be set, unless the default network is used.
Thanks to nickm for a suggestion for the workaround to a test failure.

Undo deprecation of ClientDNSRejectInternalAddresses

Revert "Make ClientDNSRejectInternalAddresses testing-only."

This reverts commit 27fa4a98d23972213122fa99499efa4baebe49e3.

nodelist: Downgrade warning to protocol warning

The node_get_ed25519_id() warning can actually be triggered by a relay flagged
with NoEdConsensus so instead of triggering a warning on all relays of the
network, downgrade it to protocol warning.

Fixes #24025

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'dgoulet_ticket23753_032_02_squashed' into maint-0.3.2

sched: Rate limit scheduler_bug_occurred()

Just in case we end up hitting a SCHED_BUG() multiple times, rate limit the
log warning.

Signed-off-by: David Goulet <dgoulet@torproject.org>

sched: Add another SCHED_BUG() callsite

sched: Use SCHED_BUG() macro in scheduler

When a BUG() occurs, this macro will print extra information about the state
of the scheduler and the given channel if any. This will help us greatly to
fix future bugs in the scheduler especially when they occur rarely.

Fixes #23753

Signed-off-by: David Goulet <dgoulet@torproject.org>

Test that IPv6-only clients can use microdescriptors

When running "make test-network-all", test that IPv6-only clients can use
microdescriptors. IPv6-only microdescriptor client support was fixed in
tor 0.3.0.1-alpha.

Requires chutney master 61c28b9 or later.

Closes ticket 24109.

Tweak a comment for a minor but important distinction

Merge branch 'ticket23820_032_01_squashed' into maint-0.3.2

Changes file for 23820

Don't run IPv6-only v3 single onion service tests using chutney

Part of #23820.

Stop users configuring IPv6-only v3 single onion services

They are not yet implemented: they will upload descriptors, but won't be
able to rendezvous, because IPv6 addresses in link specifiers are ignored.

Part of #23820.

Improve v3 onion service logging for intro and rend points

Diagnostics for #23820.

Remove buggy IPv6 and ed25519 handling from get_lspecs_from_extend_info()

The previous version of this function had the following issues:
* it didn't check if the extend_info contained an IPv6 address,
* it didn't check if the ed25519 identity key was valid.
But we can't add IPv6 support in a bugfix release.

Instead, BUG() if the address is an IPv6 address, so we always put IPv4
addresses in link specifiers. And ignore missing ed25519 identifiers,
rather than generating an all-zero link specifier.

This supports v3 hidden services on IPv4, dual-stack, and IPv6, and
v3 single onion services on IPv4 only.

Part of 23820, bugfix on 0.3.2.1-alpha.

man: Specify HiddenServiceNumIntroductionPoints for v3

A v3 service can have between 0 and 20 intro points where v2 has 0 to 10.

Fixes #24115

Signed-off-by: David Goulet <dgoulet@torproject.org>

test: Fix voting schedule for hs_service.c

Part of #23623

Signed-off-by: David Goulet <dgoulet@torproject.org>

test: Fix voting schedule for hs_common.c

Part of #23623

Signed-off-by: David Goulet <dgoulet@torproject.org>

test: Fix voting schedule for shared random

Part of #23623

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'bug24082_032' into maint-0.3.2

double newline

test: Initialize the voting schedule in test_dir.c

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'hsdescv3_fuzz_more' into maint-0.3.2

make 23762 changes file pass check-changes

Merge branch 'bug23762_032_02_squashed' into maint-0.3.2

hs-v3: Attempt descriptor refetch when dirinfo changes

When the directory information changes, callback to the HS client subsystem so
it can check if any pending SOCKS connections are waiting for a descriptor. If
yes, attempt a refetch for those.

Fixes #23762

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.1' into maint-0.3.2

Merge branch 'maint-0.3.0' into maint-0.3.1

Merge branch 'maint-0.2.9' into maint-0.3.0

Merge remote-tracking branch 'public/bug23693_029' into maint-0.2.9

Make tor recalculate voting schedule even if not a dirauth

Because the HS subsystem needs the voting schedule to compute time period, we
need all tor type to do that.

Part of #23623

Signed-off-by: David Goulet <dgoulet@torproject.org>

Initialize the mock options in the fuzzing code

Fixes bug 24082; bugfix on 0.3.0.3-alpha.  Found by Brian Carpenter.

Merge remote-tracking branch 'public/bug23774_032' into maint-0.3.2

In the hsdescv3 fuzzer, replace the decryption function.

The new decryption function performs no decryption, skips the salt,
and doesn't check the mac.  This allows us to fuzz the
hs_descriptor.c code using unencrypted descriptor test, and exercise
more of the code.

Related to 21509.

bump to 0.3.2.3-alpha-dev.

sr: Don't use a dynamic voting schedule

The exposed get_voting_schedule() allocates and return a new object everytime
it is called leading to an awful lot of memory allocation when getting the
start time of the current round which is done for each node in the consensus.

Closes #23623

Signed-off-by: David Goulet <dgoulet@torproject.org>

dirvote: Move code. No behavior change

Needed for next commit to address #23623.

Signed-off-by: David Goulet <dgoulet@torproject.org>

update to 0.3.2.3-alpha

hs-v3: Check the ed25519 key when picking intro point

If the intro point supports ed25519 link authentication, make sure we don't
have a zeroed key which would lead to a failure to extend to it.

We already check for an empty key if the intro point does not support it so
this makes the check on the key more consistent and symmetric.

Fixes #24002

Signed-off-by: David Goulet <dgoulet@torproject.org>

fuzzing: Make hsdescv3 use the decoding API correctly

Fixes #21509

Signed-off-by: David Goulet <dgoulet@torproject.org>

Revert "Temporarily disable compilation of the v3 hs fuzzing code"

This reverts commit 5ef656e7d1b1e1e74c46bd02ce8faaa1d8d09403.

fix check-changes warning

Add changes file for #23862.

Remove a duplicate call to update_microdesc_downloads()

This call happens before we update our entry guards, so it needs to be
removed for the fix to #23862 to work.

Update entry guard state whenever we download a consensus.

Update guard state even if we don't have enough dirinfo since that
actually affects the future download of dirinfos.

Fixes #23862 on 0.3.0.1-alpha

Remove buggy IPv6 support from pick_intro_point() and service_intro_point_new()

The previous version of these functions had the following issues:
* they can't supply both the IPv4 and IPv6 addresses in link specifiers,
* they try to fall back to a 3-hop path when the address for a direct
  connection is unreachable, but this isn't supported by
  launch_rendezvous_point_circuit(), so it fails.
But we can't fix these things in a bugfix release.

Instead, always put IPv4 addresses in link specifiers.
And if a v3 single onion service can't reach any intro points, fail.

This supports v3 hidden services on IPv4, dual-stack, and IPv6, and
v3 single onion services on IPv4 only.

Part of 23820, bugfix on 0.3.2.1-alpha.

Remove buggy IPv6 support from hs_get_extend_info_from_lspecs()

The previous version of this function has the following issues:
* it doesn't choose between IPv4 and IPv6 addresses correctly, and
* it doesn't fall back to a 3-hop path when the address for a direct
  connection is unreachable.
But we can't fix these things in a bugfix release.

Instead, treat IPv6 addresses like any other unrecognised link specifier
and ignore them. If there is no IPv4 address, return NULL.

This supports v3 hidden services on IPv4, dual-stack, and IPv6, and
v3 single onion services on IPv4 only.

Part of 23820, bugfix on 0.3.2.1-alpha.

hs-v2: Copy needed information between service on prunning

Turns out that when reloading a tor configured with hidden service(s), we
weren't copying all the needed information between the old service object to
the new one.

For instance, the desc_is_dirty timestamp wasn't which could lead to the
service uploading its desriptor much later than it would need to.

The replaycache wasn't also moved over and some intro point information as
well.

Fixes #23790

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.1' into maint-0.3.2

"ours" merge to avoid version bump

Merge branch 'maint-0.3.0' into maint-0.3.1

"ours" merge to avoid version bump

Merge branch 'maint-0.2.9' into maint-0.3.0

"ours" merge to avoid version bump

Merge branch 'maint-0.2.8' into maint-0.2.9

"ours" merge to avoid version bump

Merge branch 'maint-0.2.5' into maint-0.2.8

"ours" merge to avoid version bump

bump to 0.3.1.8-dev

bump to 0.3.0.12-dev

bump to 0.2.9.13-dev

bump to 0.2.8.16-dev

bump to 0.2.5.15-dev

Merge remote-tracking branch 'catalyst-oniongit/bug20532_031' into maint-0.3.2

Merge branch 'feature18329_029_squashed' into maint-0.3.2

Merge branch 'feature18329_029_squashed' into maint-0.3.2

Updates to fix check-spaces/check-changes warnings

Adjust test to allow hyphens too.

test: Add unittest for descriptors with BridgeDistribution option.

doc: Improve documentation for check_bridge_distribution_setting().

Always set bridge-distribution-request on bridges' descriptors.

Also, warn the user if the BridgeDistribution option is
unrecognized, and reject the value if it is invalid.

Tweak the documentation for BridgeDistribution

Note that it will have no effect yet; note that the default is
"any".