Stop declining to download microdescs with future published times.

This change is the only one necessary to allow future versions of
the microdescriptor consensus to replace every 'published' date with
e.g. 2038-01-01 00:00:00; this will save 50-75% in compressed
microdescriptor diff size, which is quite significant.

This commit is a minimal change for 0.2.9; future series will
reduce the use of the 'published' date even more.

Implements part of ticket 21642; implements part of proposal 275.

Bump to 0.2.9.10-dev

bump version to 0.2.9.10

Merge branch 'maint-0.2.8' into maint-0.2.9

This is an "ours" merge to avoid taking a version bump

Merge branch 'maint-0.2.7-redux' into maint-0.2.8

This is an "ours" merge to avoid taking a version bump, and to
avoid replaying the post-0.2.7.6 history of "maint-0.2.7-redux" onto maint-0.2.8, which already included the relevant changes.

bump version to 0.2.8.13

Bump version to 0.2.7.7

Merge branch 'maint-0.2.6' into maint-0.2.7-redux

"ours" merge to avoid version bumps

bump to 0.2.6.11

Merge branch 'maint-0.2.5' into maint-0.2.6

"ours" merge to avoid version bumps

Bump version to 0.2.5.13

Merge branch 'maint-0.2.4' into maint-0.2.5

"ours" merge to avoid bumping version

Bump to 0.2.4.28

Merge branch 'maint-0.2.6' into maint-0.2.7-redux

Check for micro < 0, rather than checking "minor" twice.

Bug found with clang scan-build.  Fixes bug on f63e06d3dc6757d.
Bug not present in any released Tor.

whoops; make 21450 compile

Limit version numbers to 0...INT32_MAX.

Closes 21450; patch from teor.

Merge branch 'maint-0.2.8' into maint-0.2.9

Merge branch 'maint-0.2.7' into maint-0.2.8

Merge branch 'maint-0.2.6' into maint-0.2.7

Merge branch 'maint-0.2.5' into maint-0.2.6

Merge branch 'maint-0.2.8' of git-rw.torproject.org:/tor into maint-0.2.8

Merge branch 'maint-0.2.7' of git-rw.torproject.org:/tor into maint-0.2.7

Merge branch 'maint-0.2.6' of git-rw.torproject.org:/tor into maint-0.2.6

Merge branch 'maint-0.2.5' of git-rw.torproject.org:/tor into maint-0.2.5

Merge branch 'bug21278_extra_029' into maint-0.2.9

Merge branch 'bug21278_redux_029_squashed' into maint-0.2.9

Merge branch 'maint-0.2.8' into maint-0.2.9

Merge branch 'maint-0.2.7' into maint-0.2.8

Merge branch 'maint-0.2.6' into maint-0.2.7

Merge branch 'maint-0.2.5' into maint-0.2.6

Merge branch 'maint-0.2.4' into maint-0.2.5

give tor_version_parse_platform some function documentation

When examining descriptors as a dirserver, reject ones with bad versions

This is an extra fix for bug 21278: it ensures that these
descriptors and platforms will never be listed in a legit consensus.

Extract the part of tor_version_as_new_as that extracts platform

Also add a "strict" mode to reject negative inputs.

changes file for removing compare-by-subtraction pattern

Prevent int underflow in dirvote.c compare_vote_rs_.

This should be "impossible" without making a SHA1 collision, but
let's not keep the assumption that SHA1 collisions are super-hard.

This prevents another case related to 21278.  There should be no
behavioral change unless -ftrapv is on.

Fix policies.c instance of the "if (r=(a-b)) return r" pattern

I think this one probably can't underflow, since the input ranges
are small.  But let's not tempt fate.

This patch also replaces the "cmp" functions here with just "eq"
functions, since nothing actually checked for anything besides 0 and
nonzero.

Related to 21278.

Avoid integer underflow in tor_version_compare.

Fix for TROVE-2017-001 and bug 21278.

(Note: Instead of handling signed ints "correctly", we keep the old
behavior, except for the part where we would crash with -ftrapv.)

Merge branch 'maint-0.2.8' into maint-0.2.9

Merge branch 'maint-0.2.7' into maint-0.2.8

Merge branch 'maint-0.2.6' into maint-0.2.7

Merge branch 'maint-0.2.5' into maint-0.2.6

Merge branch 'maint-0.2.4' into maint-0.2.5

be sure to remember the changes file for #20384

Merge branch 'maint-0.2.8' into maint-0.2.9

Merge branch 'maint-0.2.7' into maint-0.2.8

Merge branch 'maint-0.2.6' into maint-0.2.7

Merge branch 'maint-0.2.5' into maint-0.2.6

Merge branch 'maint-0.2.4' into maint-0.2.5

Update geoip and geoip6 to the February 8 2017 database.

Merge branch 'maint-0.2.8' into maint-0.2.9

Merge branch 'maint-0.2.7' into maint-0.2.8

Merge branch 'maint-0.2.6' into maint-0.2.7

Merge branch 'maint-0.2.6' into maint-0.2.7-redux

Merge branch 'maint-0.2.5' into maint-0.2.6

Merge remote-tracking branch 'public/bug18710_025' into maint-0.2.5

Merge branch 'maint-0.2.4' into maint-0.2.5

Revert "Revert "Add hidserv-stats filname to our sandbox filter""

This reverts commit 5446cb8d3d536e9bc737de6d9286bd4b4b185661.

The underlying revert was done in 0.2.6, since we aren't backporting
seccomp2 loosening fixes to 0.2.6.  But the fix (for 17354) already
went out in 0.2.7.4-rc, so we shouldn't revert it in 0.2.7.

Bump the version to 0.2.7.6-dev again

Merge branch 'maint-0.2.6' into maint-0.2.7-redux

maint-0.2.7-redux is an attempt to try to re-create a plausible
maint-0.2.7 branch.  I've started from the tor-0.2.7.6, and then I
merged maint-0.2.6 into the branch.

This has produced 2 conflicts: one related to the
rendcommon->rendcache move, and one to the authority refactoring.

Disable a log_backtrace (which 0.2.4 does not have) in 16248 fix

Add comments to connection_check_event().

Change behavior on missing/present event to warn instead of asserting.

Add a changes file.

If we start/stop reading on a dnsserv connection, don't assert.

Fixes bug 16248. Patch from cypherpunks.  Bugfix on 0.2.0.1-alpha.

Merge branch 'maint-0.2.8' into maint-0.2.9

Merge branch 'maint-0.2.7' into maint-0.2.8

Merge branch 'maint-0.2.6' into maint-0.2.7

"ours" merge to avoid reverting 17354, which was already fixed in
0.2.7.4-rc.

Revert "Add hidserv-stats filname to our sandbox filter"

Reverting this in 0.2.6 only -- we're no backporting
seccomp2-loosening fixes to 0.2.6.

This reverts commit 2ec5e24c58a08816ed2f09c8bd6301599bc2f2f7.

changes file for 21280

Do not truncate too long hostnames

If a hostname is supplied to tor-resolve which is too long, it will be
silently truncated, resulting in a different hostname lookup:

$ tor-resolve $(python -c 'print("google.com" + "m" * 256)')

If tor-resolve uses SOCKS5, the length is stored in an unsigned char,
which overflows in this case and leads to the hostname "google.com".
As this one is a valid hostname, it returns an address instead of giving
an error due to the invalid supplied hostname.

Merge branch 'teor_bug21357-v2_029' into maint-0.2.9

Merge branch 'bug21108_029' into maint-0.2.9

Merge branch 'maint-0.2.8' into maint-0.2.9

Merge branch 'maint-0.2.7' into maint-0.2.8

Merge branch 'maint-0.2.6' into maint-0.2.7

This is an "ours" merge to avoid conflicts on the authority list:
the 0.2.7 branch already has the tonga->bifroest merge.

Merge branch 'maint-0.2.5' into maint-0.2.6

Merge branch 'maint-0.2.4' into maint-0.2.5

Backport the tonga->bifroest move to 0.2.4.

This is a backport of 19728 and 19690

Merge branch 'maint-0.2.8' into maint-0.2.9

Merge branch 'maint-0.2.7' into maint-0.2.8

Merge branch 'maint-0.2.6' into maint-0.2.7

Merge branch 'maint-0.2.5' into maint-0.2.6

Merge branch 'maint-0.2.4' into maint-0.2.5

Merge remote-tracking branch 'public/bug19152_024_v2' into maint-0.2.4

Merge branch 'maint-0.2.8' into maint-0.2.9

Merge branch 'maint-0.2.7' into maint-0.2.8

Merge branch 'maint-0.2.6' into maint-0.2.7

Merge branch 'maint-0.2.5' into maint-0.2.6

Merge branch 'maint-0.2.4' into maint-0.2.5

Merge remote-tracking branch 'public/bug17404_024' into maint-0.2.4

Merge branch 'maint-0.2.5' into maint-0.2.6

Merge branch 'maint-0.2.4' into maint-0.2.5

Refine the memwipe() arguments check for 18089 a little more.

We still silently ignore
     memwipe(NULL, ch, 0);
and
     memwipe(ptr, ch, 0);  /* for ptr != NULL */

But we now assert on:
     memwipe(NULL, ch, 30);

Make memwipe() do nothing when passed a NULL pointer or zero size

Check size argument to memwipe() for underflow.

Closes bug #18089. Reported by "gk", patch by "teor".
Bugfix on 0.2.3.25 and 0.2.4.6-alpha (#7352),
commit 49dd5ef3 on 7 Nov 2012.

Merge branch 'maint-0.2.4' into maint-0.2.5

Fix out-of-bounds read in INTRODUCE2 client auth

The length of auth_data from an INTRODUCE2 cell is checked when the
auth_type is recognized (1 or 2), but not for any other non-zero
auth_type. Later, auth_data is assumed to have at least
REND_DESC_COOKIE_LEN bytes, leading to a client-triggered out of bounds
read.

Fixed by checking auth_len before comparing the descriptor cookie
against known clients.

Fixes #15823; bugfix on 0.2.1.6-alpha.

Rework 21359 changes file slightly.

Support LibreSSL with opaque structures

Determining if OpenSSL structures are opaque now uses an autoconf check
instead of comparing the version number. Some definitions have been
moved to their own check as assumptions which were true for OpenSSL
with opaque structures did not hold for LibreSSL. Closes ticket 21359.

Changes file for 21357: Stop rejecting all IPv6 traffic on some Exits

This issue was triggered by 17027 in 0.2.8.1-alpha, which rejects a relay's
own IPv6 address.

Bugfix on commit 004f3f4e53 in 0.2.4.7-alpha.