Tests for backtrace.c

These need to be a separate executable, since the point of backtrace.c
is that it can crash and write stuff.

Unit tests for new functions in log.c

Make backtrace handler handle signals correctly.

This meant moving a fair bit of code around, and writing a signal
cleanup function.  Still pretty nice from what I can tell, though.

Use pc_from_ucontext.m4 from Google Performance Tools

This M4 module lets us learn the right way (out of at least 18
possibilities) to extract the current PC for stack-trace-fixup-in-signal
purposes.  The Google Performance Tools license is 3-clause BSD.

Improve new assertion message logging

Don't report that a failure happened in the assertion_failed function just
because we logged it from there.

Add a sighandler-safe logging mechanism

We had accidentially grown two fake ones: one for backtrace.c, and one
for sandbox.c.  Let's do this properly instead.

Now, when we configure logs, we keep track of fds that should get told
about bad stuff happening from signal handlers.  There's another entry
point for these that avoids using non-signal-handler-safe functions.

On Linux (and some other systems) we need -rdynamic for backtraces

Basic backtrace ability

On platforms with the backtrace/backtrace_symbols_fd interface, Tor
can now dump stack traces on assertion failure.  By default, I log
them to DataDir/stack_dump and to stderr.

Refactor the assertion-failure code into a function

Add a signal-safe decimal formatting function

Whoops; check in test_circuitmux.c

Merge branch 'bug9296'

Regression test for destroy cell queue

This exercises the code that crashed and caused #9296.

Initialize destroy_cell_queue.

Likely fix for the crash bug of #9296, which was introduced through a
combination of #7912 and #8586.  Bugfix not in any released Tor.

Merge remote-tracking branch 'origin/maint-0.2.4'

Merge remote-tracking branch 'public/bug9295_023' into maint-0.2.4

Fix for bug 9295: Don't crash when running --hash-password.

Fix on 0.2.4.15-rc; I'm doing this branch against 0.2.3, since we're
considering #9122 for an 0.2.3 backport, and if we do, we should merge
this too.

tmp

Start of a unit test for options_validate.

I added this so I could write a unit test for ServerTransportOptions,
but it incidentally exercises the succeed-on-defaults case of
options_validate too.

Merge branch 'simpleq_for_cells_3'

Add a test for n_cells_in_circuit_queues

Unit tests for cell queues.

This removes some INLINE markers from functions that probably didn't
need them.

Use TOR_SIMPLEQ for packed_cell_t

Remove a redundant declaration

Remove a stray debugging echo from configure.ac

Fix a wide line in test_pt.c

Merge branch 'bug8978_rebase_2'

Conflicts:
src/test/test_pt.c

Merge branch 'bug8929_rebase_2'

Improve test coverage of 8929 code

Fix memory leaks in test_config_parse_transport_options_line

Document what "escape" means in tor_escape_str_for_pt_args

Insert the environment variable only if we have options to pass.

Add changes file and enrich the manual page.

Place the options in the environment after processing them properly.

Rename tor_escape_str_for_socks_arg() to something more generic.

Since we are going to be using that function to also escape parameters
passed to transport proxies using environment variables.

Pass characters to be escaped to tor_escape_str_for_socks_arg().

This is in preparation for using tor_escape_str_for_socks_arg() to
escape server-side pluggable transport parameters.

Write unit tests for the ServerTransportOptions parsing function.

Write function that parses ServerTransportOptions torrc lines.

And use it to validate them.

Add a basic unit test for pt_get_extra_info_descriptor_string.

Add a unit test for smethod lines with arguments.

Write transport ARGS to extra-info descriptor.

Extract ARGS from SMETHOD line and attach them to transport.

A python script to combin gcov output with git blame

Merge remote-tracking branch 'origin/maint-0.2.4'

Re-do a cast in order to make old buggy freebsd gcc happy

Fix for #9254.  Bugfix on 0.2.4.14-alpha.

This is not actually a bug in the Tor code.

Merge remote-tracking branch 'asn/bug9265'

Remove an unused variable in test_replaycache_scrub

Make contrib/coverage smarter about check file-existence edge cases

Add more replaycache.c unit tests, bringing coverage to 100% for that file

Eliminate an impossible case in replaycache_scrub_if_needed_internal()

Test deeper in test_pt_parsing().

We used to test parse_{c,s}method_line() without actually testing that
the resulting transport_t was well formed.

Add optional target directory parameter to coverage script and add reset-gcov target to Makefile.am

Appease "make check-spaces"

Use format_hex_number_sigsafe to format syscalls in sandbox.c

This way, we don't have to use snprintf, which is not guaranteed to
be signal-safe.

(Technically speaking, strlen() and strlcpy() are not guaranteed to
be signal-safe by the POSIX standard. But I claim that they are on
every platform that supports libseccomp2, which is what matters
here.)

Lightly refactor and test format_hex_number_sigsafe

Better tests for upper bounds, and for failing cases.

Also, change the function's interface to take a buffer length rather
than a maximum length, and then NUL-terminate: functions that don't
NUL-terminate are trouble waiting to happen.

HEX_ERRNO_SIZE is no longer the correct upper limit for format_hex_number_sigsafe

Expose format_hex_number_..., and rename it to ..._sigsafe().

There are some other places in the code that will want a signal-safe
way to format numbers, so it shouldn't be static to util.c.

Don't build format_helper_exit_status on win32

The only thing that used format_helper_exit_status on win32 was the
unit tests. This caused an error when we tried to leave a static
format_helper_exit_status lying around in a production object file.

The easiest solution is to admit that this way of dealing with process
exit status is Unix-only.

Merge remote-tracking branch 'linus/unused_param'

Merge remote-tracking branch 'linus/binshify'

Merge remote-tracking branch 'public/fancy_test_tricks'

Conflicts:
src/common/include.am

Conflict was from adding testsupport.h near where sandbox.h had
already been added.

Traditional /bin/sh is unhappy about {a,b} globbing.

Avoid compiler warning 'unused param'.

Fixes #9261.

Fix two pre-coffee typos

And a changes file for #9258

Reject relative control socket paths and emit a warning.

Previously we would accept relative paths, but only if they contained a
slash somewhere (not at the end).

Otherwise we would silently not work.  Closes: #9258.  Bugfix on
0.2.3.16-alpha.

Document get_parent_directory more

cosmetic cleanups

put sandbox.h in the tarball, so the tarball builds

Merge remote-tracking branch 'public/gsoc-ctoader-cap-phase1-squashed'

Remove a bogus semicolon spotted by Gisle Vanem

Add a basic seccomp2 syscall filter on Linux

It's controlled by the new Sandbox argument.  Right now, it's rather
coarse-grained, it's Linux-only, and it may break some features.

Add some basic unit tests for the circuit map data structure.

These show off the new mocking code by mocking the circuitmux code
so that we can test the circuit map code in isolation.

Add rudimentary test mocking support.

This is not the most beautiful possible implementation (it requires
decorating mockable functions with ugly macros), but it actually
works, and is portable across multiple compilers and architectures.

Add a script to compare directories full of gcov output

We can't just use "diff", since we don't care about changes in line
numbers, or changes in the exact number of times a line was called.
We just care about changes that make lines covered or non-coverd.  So
pre-process the files before calling diff.

Coverage support: build with --enable-coverage to have tests run with gcov

If you pass the --enable-coverage flag on the command line, we build
our testing binaries with appropriate options eo enable coverage
testing.  We also build a "tor-cov" binary that has coverage enabled,
for integration tests.

On recent OSX versions, test coverage only works with clang, not gcc.
So we warn about that.

Also add a contrib/coverage script to actually run gcov with the
appropriate options to generate useful .gcov files.  (Thanks to
automake, the .o files will not have the names that gcov expects to
find.)

Also, remove generated gcda and gcno files on clean.

Completely refactor how FILENAME_PRIVATE works

We previously used FILENAME_PRIVATE identifiers mostly for
identifiers exposed only to the unit tests... but also for
identifiers exposed to the benchmarker, and sometimes for
identifiers exposed to a similar module, and occasionally for no
really good reason at all.

Now, we use FILENAME_PRIVATE identifiers for identifiers shared by
Tor and the unit tests.  They should be defined static when we
aren't building the unit test, and globally visible otherwise. (The
STATIC macro will keep us honest here.)

For identifiers used only by the unit tests and never by Tor at all,
on the other hand, we wrap them in #ifdef TOR_UNIT_TESTS.

This is not the motivating use case for the split test/non-test
build system; it's just a test example to see how it works, and to
take a chance to clean up the code a little.

Start work on fancy compiler tricks to expose extra stuff to our tests

This is mainly a matter of automake trickery: we build each static
library in two versions now: one with the TOR_UNIT_TESTS macro
defined, and one without.  When TOR_UNIT_TESTS is defined, we can
enable mocking and expose more functions. When it's not defined, we
can lock the binary down more.

The alternatives would be to have alternate build modes: a "testing
configuration" for building the libraries with test support, and a
"production configuration" for building them without.  I don't favor
that approach, since I think it would mean more people runnning
binaries build for testing, or more people not running unit tests.

Merge remote-tracking branch 'origin/maint-0.2.4'

Merge branch 'bug9200' into maint-0.2.4

Add a comment and a check for why flag indices will be <= 63

Merge remote-tracking branch 'karsten/geoip-manual-update-jul2013'

Merge remote-tracking branch 'origin/maint-0.2.4'

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Update to the July 2013 GeoIP database.

Add 2 new manual A1 substitutions.

FIx undefined behavior in dirvote.c

 Fix a bug in the voting algorithm that could yield incorrect results
 when a non-naming authority declared too many flags. Fixes bug 9200;
 bugfix on 0.2.0.3-alpha.

Found by coverity scan.

Merge remote-tracking branch 'linus/bug8530'

Merge remote-tracking branch 'origin/maint-0.2.4'

Merge branch 'bug9147' into maint-0.2.4

Give a warning when bufferevents are enabled.

Ticket 9147.

Merge remote-tracking branch 'origin/maint-0.2.4'

Fix bug 9122: don't allow newdefaultoptions to be NULL

(This caused a crash that was reported as bug 9122, but the underlying
behavior has been wrong for a while.)

Fix on 0.2.3.9-alpha.

Fix #5584 - raise awareness of safer logging - warn about potentially unsafe config options

Forward-port the 0.2.4.14-alpha changelog

Merge remote-tracking branch 'origin/maint-0.2.4'

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Check more return values in the unit tests

Fix some problems with the bug9002 fix.

Fixes bug 9090; bug not in any released Tor.