Bump to 0.3.5.12

Merge remote-tracking branch 'tor-gitlab/mr/189' into maint-0.3.5

Implement proposal 318: Limit protovers to 0..63

In brief: we go through a lot of gymnastics to handle huge protover
numbers, but after years of development we're not even close to 10
for any of our current versions.  We also have a convenient
workaround available in case we ever run out of protocols: if (for
example) we someday need Link=64, we can just add Link2=0 or
something.

This patch is a minimal patch to change tor's behavior; it doesn't
take advantage of the new restrictions.

Implements #40133 and proposal 318.

Merge remote-tracking branch 'tor-github/pr/1827/head' into maint-0.3.5

hs-v2: Add deprecation warning for service

If at least one service is configured as a version 2, a log warning is emitted
once and only once.

Closes #40003

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge remote-tracking branch 'tor-gitlab/mr/77' into maint-0.3.5

Merge remote-tracking branch 'tor-gitlab/mr/79' into maint-0.3.5

Merge remote-tracking branch 'tor-github/pr/1661/head' into maint-0.3.5

Merge remote-tracking branch 'tor-gitlab/mr/43' into maint-0.3.5

Merge remote-tracking branch 'tor-gitlab/mr/137' into maint-0.3.5

Merge remote-tracking branch 'tor-gitlab/mr/103' into maint-0.3.5

Merge branch 'mr_124_squashed' into maint-0.3.5

Parallelize src/test/test into chunks.

First, we introduce a flag to teach src/test/test to split its work
into chunks.  Then we replace our invocation of src/test/test in our
"make check" target with a set of 8 scripts that invoke the first
8th of the tests, the second 8th, and so on.

This change makes our "make -kj4 check" target in our hardened
gitlab build more than twice as fast, since src/test/test was taking
the longest to finish.

Closes 40098.

srv: Remove spammy debug log

Fixes #40135

Signed-off-by: David Goulet <dgoulet@torproject.org>

gitlab-ci: Use test-network-all for debian-integration

gitlab-ci: add an NSS check.

gitlab-ci: Add all-bugs-are-fatal on hardened and integration builds.

gitlab-ci: Add disable-module builds.

Add a few more options for the CI script.

These are:
  --disable-module-relay
  --disable-module-dirauth
  --enable-all-bugs-are-fatal
  --enable-nss

Make debian-trace job conditional on src/lib/trace/trace_sys.c

.gitlab.yml: missing comments

Copy tracing things back to maint-0.3.5, for consistency.

Fix underflow in rend_cache/free_all test.

We already fixed these in #40099 and #40125.

This patch fixes #40126.  Bugfix on 0.2.8.1-alpha.

test: Increment rend cache allocation before freeing

The rend_cache/entry_free was missing the rend cache allocation increment
before freeing the object.

Without it, it had an underflow bug:

  Sep 17 08:40:13.845 [warn] rend_cache_decrement_allocation(): Bug: Underflow
  in rend_cache_decrement_allocation (on Tor 0.4.5.0-alpha-dev
  7eef9ced61e72b1d)

Fixes #40125

Signed-off-by: David Goulet <dgoulet@torproject.org>

conn: Remove assert on new listener connection when retrying

Opening a new listener connection can fail in many ways like a bind()
permission denied on a low port for instance.

And thus, we should expect to handle an error when creating a new one instead
of assert() on it.

To hit the removed assert:

  ORPort 80
  KeepBindCapabilities 0

Start tor. Then edit torrc:

  ORPort <some-IP>:80

HUP tor and the assert is hit.

Fixes #40073

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge remote-tracking branch 'tor-gitlab/mr/125' into maint-0.3.5

Improve comments in .gitlab-ci.yml

CI: Turn on stem with 044 and later.

Fix allocation counting in clean_v2_descs_as_dir test.

Without this fix, running this test on its own would fail.

Fixes bug 40099. Bugfix on ade5005853c17b3 in 0.2.8.1-alpha.

CI: improve output when skipping doxygen

Try disabling "make all" when checking docs.

CI: Try to enable integration tests, hardening, and clang.

CI: Remove VS2015 AppVeyor build.

CI: label our python versions.

CI: Only run doxygen on 0.4.3 and later.

CI: enable documentation testing

Fix a pair of typos in ci-driver.sh.

Add a pair of warnings about only editing CI in 035

small code tweaks to try to work around debian stable complaints

Try to set up a minimal gitlab CI script

This is based on @eighthave's templates, and the work we've been
doing to present a uniform testing environment.

Add a shareable continuous-integration script.

Eventually this should be used by every one of our CI scripts.

Validate ed25519 keys and canonicity from circuit_n_conn_done()

Fixes bug 40080. Bugfix on 0.2.7.2-alpha.

Copy from master gitlab-ci.yml from master back to maint-0.3.5

Remove channel_is_canonical_is_reliable()

This function once served to let circuits continue to be built over
version-1 link connections.  But such connections are long-obsolete,
and it's time to remove this check.

Closes #40081.

Fix a bug in buf_move_all() when the input buffer is empty.

We found this in #40076, after we started using buf_move_all() in
more places.  Fixes bug #40076; bugfix on 0.3.3.1-alpha.  As far as
I know, the crash only affects master, but I think this warrants a
backport, "just in case".

Add unit test for buf_move_all(), including a failing case

The failing case is #if'd out for now, but will be fixed in the next
commit.

Testing for a fix for #40076.

Use _lseeki64() on windows.

Fixes bug 31036; bugfix on 0.2.1.8-alpha when we moved the logging
system to use posix fds.

fallbackdir: Remove all three Digitalcourage3 relays

They are about to be shutdown in September.

Signed-off-by: David Goulet <dgoulet@torproject.org>

More info in the fallbackdir changes file

fallbackdir: Update list for 2020

Closes #40061

Signed-off-by: David Goulet <dgoulet@torproject.org>

Treat all extorport connections with un-set addresses as remote

Without this fix, if an PT forgets to send a USERADDR command, that
results in a connection getting treated as local for the purposes of
rate-limiting.

If the PT _does_ use USERADDR, we still believe it.

Closes ticket 33747.

Adjust the rules for warning about too many connections.

Previously we tolerated up to 1.5 connections for every relay we
were connected to, and didn't warn if we had fewer than 5
connections total.

Now we tolerate up to 1.5 connections per relay, and up to 4
connections per authority, and we don't warn at all when we have
fewer than 25 connections total.

Fixes bug 33880, which seems to have been provoked by our #17592
change in 0.3.5.

NSS: Tell NSS that our SSL sockets are nonblocking.

Closes ticket 40035.

Bump to 0.3.5.11-dev

bump to 0.3.5.11

Merge branch 'trove_2020_001_035' into maint-0.3.5

Resolve a compiler warning from a 32-bit signed/unsigned comparison

This warning only affects platforms (like win32) with 32-bit time_t.

Fixes bug 40028; bugfix on 0.3.2.8-rc.

CI: Fix Appveyor printf format error

For some reasons, Appveyor started to use the stdio printf format for 64 bit
values (PRIu64, ...). Mingw doesn't like that so force it to use the Windows
specific macros by setting D__USE_MINGW_ANSI_STDIO=0.

Fixes #40026

Use ((x + 7) >> 3) instead of (x >> 3) when converting from bits to bytes.

This patch changes our bits-to-bytes conversion logic in the NSS
implementation of `tor_tls_cert_matches_key()` from using (x >> 3) to
((x + 7) >> 3) since DER bit-strings are allowed to contain a number of
bits that is not a multiple of 8.

Additionally, we add a comment on why we cannot use the
`DER_ConvertBitString()` macro from NSS, as we would potentially apply
the bits-to-bytes conversion logic twice, which would lead to an
insignificant amount of bytes being compared in
`SECITEM_ItemsAreEqual()` and thus turn the logic into being a
prefix match instead of a full match.

The `DER_ConvertBitString()` macro is defined in NSS as:

    /*
    ** Macro to convert der decoded bit string into a decoded octet
    ** string. All it needs to do is fiddle with the length code.
    */
    #define DER_ConvertBitString(item)            \
        {                                         \
            (item)->len = ((item)->len + 7) >> 3; \
        }

Thanks to Taylor Yu for spotting this problem.

This patch is part of the fix for TROVE-2020-001.

See: https://bugs.torproject.org/33119

Add constness to length variables in `tor_tls_cert_matches_key`.

We add constness to `peer_info_orig_len` and `cert_info_orig_len` in
`tor_tls_cert_matches_key` to ensure that we don't accidentally alter
the variables.

This patch is part of the fix for TROVE-2020-001.

See: https://bugs.torproject.org/33119

Fix out-of-bound memory read in `tor_tls_cert_matches_key()` for NSS.

This patch fixes an out-of-bound memory read in
`tor_tls_cert_matches_key()` when Tor is compiled to use Mozilla's NSS
instead of OpenSSL.

The NSS library stores some length fields in bits instead of bytes, but
the comparison function found in `SECITEM_ItemsAreEqual()` needs the
length to be encoded in bytes. This means that for a 140-byte,
DER-encoded, SubjectPublicKeyInfo struct (with a 1024-bit RSA public key
in it), we would ask `SECITEM_ItemsAreEqual()` to compare the first 1120
bytes instead of 140 (140bytes * 8bits = 1120bits).

This patch fixes the issue by converting from bits to bytes before
calling `SECITEM_ItemsAreEqual()` and convert the `len`-fields back to
bits before we leave the function.

This patch is part of the fix for TROVE-2020-001.

See: https://bugs.torproject.org/33119

Run `tor_tls_cert_matches_key()` Test Suite with both OpenSSL and NSS.

This patch lifts the `tor_tls_cert_matches_key()` tests out of the
OpenSSL specific TLS test suite and moves it into the generic TLS test
suite that is executed for both OpenSSL and NSS.

This patch is largely a code movement, but we had to rewrite parts of
the test to avoid using OpenSSL specific data-types (such as `X509 *`)
and replace it with the generic Tor abstraction type
(`tor_x509_cert_impl_t *`).

This patch is part of the fix for TROVE-2020-001.

See: https://bugs.torproject.org/33119

Downgrade "Bug: No entry found in extrainfo map" message.

This is not actually a bug!  It can happen for a bunch of reasons,
which all boil down to "trying to add an extrainfo for which we no
longer have the corresponding routerinfo".

Fixes #16016; bugfix on 0.2.6.3-alpha.

Merge branch 'tor-github/pr/1909' into maint-0.3.5

Merge branch 'tor-github/pr/1793' into maint-0.3.5

Merge branch 'tor-github/pr/1785' into maint-0.3.5

Merge remote-tracking branch 'nickm-github/bug32884_035' into maint-0.3.5

Merge remote-tracking branch 'tor-github/pr/1725/head' into maint-0.3.5

Merge branch 'tor-github/pr/1912' into maint-0.3.5

Update and upgrade Pacman before installing dependencies in AppVeyor.

This patch makes sures that AppVeyor upgrades its Pacman (the package
manager) before installing the Tor dependencies.

See: https://bugs.torproject.org/34384

Revert "Travis: temporarily fix stem version to d1174a83c2dcb7b8"

This reverts commit e63bfca5f2d98788d11b9a0a82bf67277a228c71, now
that Stem has been upgraded to fix the underlying issue.

Preemptive circs should work with UseEntryGuards 0

Resume being willing to use preemptively-built circuits when
UseEntryGuards is set to 0. We accidentally disabled this feature with
that config setting (in our fix for #24469), leading to slower load times.

Fixes bug 34303; bugfix on 0.3.3.2-alpha.

Fix use of non-portable == in configure.ac.

Fixes bug 34233.

(This has bug has been backported to 0.3.5, but only released in
0.4.3, so it only needs a changes file there.)

Travis: temporarily fix stem version to d1174a83c2dcb7b8

This is a workaround for https://github.com/torproject/stem/issues/63

changes file for bug 34078.

Use __attribute__((fallthrough)) rather than magic GCC comments.

GCC added an implicit-fallthrough warning a while back, where it
would complain if you had a nontrivial "case:" block that didn't end
with break, return, or something like that.  Clang recently added
the same thing.

GCC, however, would let you annotate a fall-through as intended by
any of various magic "/* fall through */" comments.  Clang, however,
only seems to like "__attribute__((fallthrough))".  Fortunately, GCC
accepts that too.

A previous commit in this branch defined a FALLTHROUGH macro to do
the right thing if GNUC is defined; here we replace all of our "fall
through" comments with uses of that macro.

This is an automated commit, made with the following perl one-liner:

  #!/usr/bin/perl -i -p
  s#/\* *falls? ?thr.*?\*/#FALLTHROUGH;#i;

Merge branch 'bug34078_prelim_035' into maint-0.3.5

Remove an incorrect "Fall through" comment.

address.c: add a single (harmless) missing break;

include compat_compiler for ed25519_donna

Replace some "fall through" comments not at the end of a case.

Replace a "fall through" comment that was outside a switch.

Add a fallthrough macro.

This macro defers to __attribute__((fallthrough)) on GCC (and
clang).  Previously we had been using GCC's magic /* fallthrough */
comments, but clang very sensibly doesn't accept those.

Since not all compiler recognize it, we only define it when our
configure script detects that it works.

Part of a fix for 34078.

Merge remote-tracking branch 'tor-github/pr/1784' into maint-0.3.5

Add a test for the localhost case.

Extend test to handle router_get_advertised_ipv6_or_ap

Add a test for router_get_advertised_or_port_by_af().

Add tests for get_first_advertised_{addr,port}_by_type_af()

router: Refactor IPv6 ORPort function logic

Return early when there is no suitable IPv6 ORPort.
Show the address and port on error, using a convenience function.

Code simplification and refactoring.

Cleanup after 32588.

router: Stop advertising incorrect auto IPv6 ORPorts

When IPv6 ORPorts are set to "auto", tor relays and bridges would
advertise an incorrect port in their descriptor.

This may be a low-severity memory safety issue, because the published
port number may be derived from uninitialised or out-of-bounds memory
reads.

Fixes bug 32588; bugfix on 0.2.3.9-alpha.

Appveyor: Copy required DLLs to test and app

Copy required DLLs to test and app, before running tor's tests.

This ensures that tor.exe and test*.exe use the correct version of each
DLL. This fix is not required, but we hope it will avoid DLL search
issues in future.

Closes bug 33673; bugfix on 0.3.4.2-alpha.

Appveyor: disable crypto/openssl_version

Add a TOR_SKIP_TESTCASES environment variable for suppressing tests.

For example, "TOR_SKIP_TESTCASES=crypto/.. ./src/test/test" will run
the tests and suppress all the "crypto/" tests.  You could get the
same effect by running "./src/test/test :crypto/..", but that can be
harder to arrange from CI.

Part of a fix/workaround for 33643.

Bump version to 0.3.5.10-dev

Port rsa_private_key_too_long() to work on OpenSSL 1.1.0.

Merge branch 'trove_2020_002_035' into maint-0.3.5

Fix TROVE-2020-003.

Given that ed25519 public key validity checks are usually not needed
and (so far) they are only necessary for onion addesses in the Tor
protocol, we decided to fix this specific bug instance without
modifying the rest of the codebase (see below for other fix
approaches).

In our minimal fix we check that the pubkey in
hs_service_add_ephemeral() is valid and error out otherwise.

Trivial bugfixes found during TROVE investigation.

Use >= consistently with max_bits.

Add off-by-one checks for key length.