bump to 0.2.3.18-rc

add a blurb for 0.2.3.18-rc, other minor cleanups

fix grammar in comment

fold in more changes entries

Clean up check-spaces block; make it cover the right files

Merge remote-tracking branch 'public/bug6244_part2' into maint-0.2.3

Add version and bug number to 5238 changes file

Downgrade 'Got a certificate, but we already have it' log message from warning to info, except when we're a dirauth (fixes bug 5238)

Fix GETINFO address-mappings/... with wildcarded addresses.

Allow wildcarded mapaddress targets in controller MAPADDRESS command

merge changes files into upcoming changelog

Merge remote-tracking branch 'public/bug6227' into maint-0.2.3

Fix a warning when using glibc's strcspn with clang.

With glibc 2.15 and clang 3.0, I get warnings from where we use the
strcpsn implementation in the header as strcspn(string, "=").  This
is apparently because clang sees that part of the strcspn macro
expands to "="[2], and doesn't realize that that part of the macro
is only evaluated when "="[1] != 0.

Add a unit test for environment_variable_names_equal

I need this because I'm about to frob that function to stop using
strcspn() in order to get rid of a clang warning.

Fix a compilation warning with clang 3.0

In b1ad1a1d0266a20bb we introduced an implicit (but safe)
long-to-int shortening that clang didn't like.

Warning not in any released version of Tor.

Downgrade message about md cache cleaning from notice to info

Fix for #6238

Bump the test util/threads timeout up to 150 sec

This should make some debian build systems happier.

Also, increase the select() timeout to a more reasonable 100 msec.

Don't do DNS lookups when parsing corrupted managed proxy messages.

The functions parse_{s,c}method_line() were using
tor_addr_port_lookup() which is capable of doing DNS lookups. DNS
lookups should not be necessary when parsing {C,S}METHOD lines.

Merge remote-tracking branch 'public/bug6225' into maint-0.2.3

Catch a few more K&R violations with make check-spaces

We now catch bare {s that should be on the previous line with a do,
while, if, or for, and elses that should share a line with their
preceding }.

That is,
    if (foo)
    {
and
    if (foo) {
      ...
    }
    else

are now detected.

We should think about maybe making Tor uncrustify-clean some day,
but configuring uncrustify is an exercise in bizarreness, and
reformatting huge gobs of Tor is always painful.

fix broken utf8-ism

Don't assert in get_string_from_pipe() on len==0

We can treat this case as an EAGAIN (probably because of an
unexpected internal NUL) rather than a crash-worthy problem.

Fixes bug 6225, again.  Bug not in any released version of Tor.

Resolve crash caused by format_helper_exit_status changes in #5557

Because the string output was no longer equal in length to
HEX_ERRNO_SIZE, the write() call would add some extra spaces and
maybe a NUL, and the NUL would trigger an assert in
get_string_from_pipe.

Fixes bug 6225; bug not in any released version of Tor.

Merge branch 'bug5099_nm' into maint-0.2.3

Tweak bug5099 changes file

Improve log message issued when a managed proxy fails to launch.

Merge remote-tracking branch 'public/bug6211' into maint-0.2.3

Merge remote-tracking branch 'public/bug6203_v2' into maint-0.2.3

Style tweaks and add a warning about NUL-termination

Add unit test for format_hex_number_for_helper_exit_status()

Refactor unsigned int hex formatting out of format_helper_exit_status() in util.c

Make format_helper_exit_status() avoid unnecessary spaces

Fix a regression bug in AllowDotExit

The code that detected the source of a remapped address checked that
an address mapping's source was a given rewrite rule if addr_orig had
no .exit, and addr did have a .exit after processing that rule.  But
addr_orig was formatted for logging: it was not the original address
at all, but rather was the address escaped for logging and possibly
replaced with "[scrubbed]".

This new logic will correctly set ADDRMAPSRC_NONE in the case when the
address starts life as a .exit address, so that AllowDotExit can work
again.

Fixes bug 6211; bugfix on 0.2.3.17-beta

Disable warning for marked-but-reading in main.c

It turns out this can happen.  Even though there is no reason for
connections to be marked but reading, we leave them reading anyway,
so warning here is unwarranted.  Let's turn that back on once we do
something sensible and disable reading when we mark.  Bugfix for
6203 on Tor 0.2.3.17-beta.

Thanks to cypherpunks for pointing out the general stupidity of the
original code here.

Merge remote-tracking branch 'public/bug3311'

Merge branch 'bug4748_squashed'

Document 0.2.3.x torrc/default-torrc/command line semantics changes

Bug 4748

squash! Document 0.2.3.x torrc/default-torrc/command line semantics changes

Incorporates fixes suggested by rransom.

Merge branch 'bug6173_rebased'

Merge remote-tracking branch 'andrea/bug6028'

oops: AC_RUN_IFELSE gets offended if I don't give it a AC_LANG_PROGRAM

More sophisticated attempt at detecting working linker options

On some platforms, the linker is perfectly happy to produce binaries
that won't run if you give it the wrong set of flags.  So when not
cross-compiling, try to link-and-run a little test program, rather
than just linking it.

Possible fix for 6173.

conn_type_to_string() on a listener already says it's a listener

fix the typo on the typo fix

Always set *socket_error to something appropriate when returning -1 from connection_connect()

fix typos from 783f705d

fix a compiler warning added in one of my XXX023 fixes.

Whitespace fix

Fix a typo found by Mike.

Merge remote-tracking branch 'public/xxx023'

Clarify some messages about publishing hidden service descriptors

Fix for bug 3311.

Check the correct consensus before giving it to the client

Previously, a directory would check the latest NS consensus for
having the signatures the client wanted, and use that consensus's
valid_until time to set the HTTP lifetime.  With this patch, the
directory looks at NS consensus or the microdesc consensus,
depending on what the client asked for.

Change a silent ignore-the-bug in microdesc.c to a LOG_INFO

I don't believe this bug occurs, but there was an XXX023 to make
sure it doesn't.

Move tor_gettimeofday_cached() into compat_libevent

Refactor GETINFO process/descriptor-limit

Previously it duplicated some getrlimit code and content from compat.c;
now it doesn't.

Document that we are unlikely to underflow session group IDs.

Triage the XXX023 and XXX022 comments: postpone many.

Merge remote-tracking branch 'public/bug5932'

Downgrade log messages about cbt enabled/disabled. Bug 6169.

whitespace fix

bump to 0.2.3.17-beta-dev

give 0.2.3.17-beta a release blurb

another little step at making debugging 5458 easier

tab-man returneth (this time using the name 'rob')

fix typos, logic error, default in man page

bump to 0.2.3.17-beta

fold in next changes items

Expand on bug5458 changes file

Add a changes file for bug5458.

Lower the default path bias notice rate to 40%.

I saw 72% on a test run with 26 circuits. 70% might be a little close to the
line. That, or min_circs is too low and we need to be more patient. We still
need to test/simulate more.

For now, never disable any guards.

Defend against entry node path bias attacks

The defense counts the circuit failure rate for each guard for the past N
circuits. Failure is defined as the ability to complete a first hop, but not
finish completing the circuit all the way to the exit.

If the failure rate exceeds a certain amount, a notice is emitted.

If it exceeds a greater amount, a warn is emitted and the guard is disabled.

These values are governed by consensus parameters which we intend to tune as
we perform experiments and statistical simulations.

Document --hush; fix documentation for --quiet.

Merge remote-tracking branch 'asn-mytor/bug5589_take2'

Remove validate_pluggable_transports_config(): redundant since 9d9b5ed0.

The warning message of validate_pluggable_transports_config() is
superseded by the changes in the warning message of
connection_or_connect() when the proxy credentials can't be found.

demote two entries that don't affect most users

fold in further changes files

Merge remote-tracking branch 'public/bug4663'

Merge branch 'trac-5049-squashed'

One more fix for bug 5049.

Satisfy make check-spaces

Move cbt->liveness.timeouts_after_firsthop free code into its own function

Add change file for bug 5049

Early exit from circuit_build_times_set_timeout() if adaptive timeouts are disabled

Don't poll to see if we need to build circuits for timeout data if LearnCircuitBuildTimeout is disabled

Use K&R style

Unconditionally use config CircuitBuildTimeout if LearnCircuitBuildTimeout is disabled

Don't track circuit timeout history unless we're actually using adaptive timeouts

Add debug logging to circuit_build_times_* of circuitbuild.c to trace queries of consensus parameters for bug 5049

Only use -Qunused-arguments when building with clang. fix on 5210 fix.

Merge branch 'bug5263_023'

Add changes file for bug5263

Add rate-limited log message to bug5263 fix

Initially I said, "I claim that we shouldn't be reading and marked;
let's see if I'm right."  But Rob finds that it does.

Fix busy Libevent loops (infinite loops in Shadow)

There is a bug causing busy loops in Libevent and infinite loops in
the Shadow simulator. A connection that is marked for close, wants
to flush, is held open to flush, but is rate limited (the token
bucket is empty) triggers the bug.

This commit fixes the bug. Details are below.

This currently happens on read and write callbacks when the active
socket is marked for close. In this case, Tor doesn't actually try
to complete the read or write (it returns from those methods when
marked), but instead tries to clear the connection with
conn_close_if_marked(). Tor will not close a marked connection that
contains data: it must be flushed first. The bug occurs when this
flush operation on the marked connection can not occur because the
connection is rate-limited (its write token bucket is empty).

The fix is to detect when rate limiting is preventing a marked
connection from properly flushing. In this case, it should be
flagged as read/write_blocked_on_bandwidth and the read/write events
de-registered from Libevent. When the token bucket gets refilled, it
will check the associated read/write_blocked_on_bandwidth flag, and
add the read/write event back to Libevent, which will cause it to
fire. This time, it will be properly flushed and closed.

The reason that both read and write events are both de-registered
when the marked connection can not flush is because both result in
the same behavior. Both read/write events on marked connections will
never again do any actual reads/writes, and are only useful to
trigger the flush and close the connection. By setting the
associated read/write_blocked_on_bandwidth flag, we ensure that the
event will get added back to Libevent, properly flushed, and closed.

Why is this important? Every Shadow event occurs at a discrete time
instant. If Tor does not properly deregister Libevent events that
fire but result in Tor essentially doing nothing, Libevent will
repeatedly fire the event. In Shadow this means infinite loop,
outside of Shadow this means wasted CPU cycles.

Change smartlist_create->smartlist_new in bug4744 branch as merged to master

Merge branch 'bug4744_squashed'

Implement the client side of proposal 198

This is a feature removal: we no longer fake any ciphersuite other
than the not-really-standard SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
(0xfeff).  This change will let servers rely on our actually
supporting what we claim to support, and thereby let Tor migrate to
better TLS ciphersuites.

As a drawback, Tor instances that use old openssl versions and
openssl builds with ciphers disabled will no longer give the
"firefox" cipher list.

Merge remote-tracking branch 'public/bug3940_redux'

Merge remote-tracking branch 'public/bug5210'

Fix another clang compile warning

We forgot this when we fixed 5969.

Merge branch 'task-5849-3-squashed'