Merge branch 'maint-0.3.2'

Merge remote-tracking branch 'dgoulet/bug23603_032_02' into maint-0.3.2

Fix compilation with --disable-memory-sentinels

We'd broken this with the recent _free() rewrite.

Fix up test_circuitstats to use the new circuit_free macro

Merge remote-tracking branch 'mikeperry/bug23114_squashed2'

move a macro; fix a build?

Merge branch 'macro_free_v2_squashed'

document our allocator conventions

Convert remaining function (mostly static) to new free style

Fix wide lines introduced by previous patch.

Replace all FREE_AND_NULL* uses to take a type and a free function.

This commit was made mechanically by this perl script:

\#!/usr/bin/perl -w -i -p

next if /^#define FREE_AND_NULL/;
s/\bFREE_AND_NULL\((\w+),/FREE_AND_NULL\(${1}_t, ${1}_free_,/;
s/\bFREE_AND_NULL_UNMATCHED\(/FREE_AND_NULL\(/;

Let's have only one FREE_AND_NULL variant.

This commit removes the old FREE_AND_NULL, and renames the old
FREE_AND_NULL_UNMATCHED so that it is now called FREE_AND_NULL.

This will break all the FREE_AND_NULL_* users; the next commit will
fix them.

changes file for big free macro-ization branch

Make tor_free only evaluate its input once (at least on gcc and clang)

Switch to a safer FREE_AND_NULL implementation

This one only evaluates the input once, so it cannot mess up even if
there are side effects.

Change the free macro convention in the rest of src/or/*.h

Convert connection_free to a nulling macro.

Rename connection_free_ to connection_free_minimal.

Update free functions into macros: src/or/ part 1

This covers addressmap.h (no change needed) through confparse.h

Convert the rest of src/common's headers to use FREE_AND_NULL

Merge branch 'dgoulet_ticket23709_033_01_squashed'

chan: Add changes file for ticket 23709

Closes #23709

Signed-off-by: David Goulet <dgoulet@torproject.org>

test: Make older GCC happy and thus our oniongit pipeline

Signed-off-by: David Goulet <dgoulet@torproject.org>

chan: Do not re-queue after a fail cell write

Couple things happen in this commit. First, we do not re-queue a cell back in
the circuit queue if the write packed cell failed. Currently, it is close to
impossible to have it failed but just in case, the channel is mark as closed
and we move on.

The second thing is that the channel_write_packed_cell() always took ownership
of the cell whatever the outcome. This means, on success or failure, it needs
to free it.

It turns out that that we were using the wrong free function in one case and
not freeing it in an other possible code path. So, this commit makes sure we
only free it in one place that is at the very end of
channel_write_packed_cell() which is the top layer of the channel abstraction.
This makes also channel_tls_write_packed_cell_method() return a negative value
on error.

Two unit tests had to be fixed (quite trivial) due to a double free of the
packed cell in the test since now we do free it in all cases correctly.

Part of #23709

Signed-off-by: David Goulet <dgoulet@torproject.org>

Move a comment to relay_send_end_cell_from_edge()

It looks like it was left behind in a refactor.

Fixes 24559.

add a missing windows underscore

Merge branch 'maint-0.3.2'

Merge branch 'arthuredelstein_18859+1_031' into maint-0.3.2

Rewrite 18859 changes file from user POV.

Revert accidentally-committed code from 046acf208bc53a3fa7ea9

Add tests for circuitstats.c

These tests primarily test the relaxed and measured behavior of
circuitstats.c, to make sure we did not break it with #23100 or #23114.

Report close and timeout rates since uptime, not based on data.

Bug #23114 was harder to see because we were just reporting our math,
rather than reporting behavior.

Bug #23114: Time out circuits immediately.

This changes the purpose of circuits that are past the timeout to measurement
*as they are built*, ensuring accurate application of the timeout logic.

Bug #23100: Count all 3 hop circuits for CBT.

This change causes us to count anything once it reaches 3 hops (but not
after).

Don't consider a port "handled" by an isolated circuit.

Previously, circuit_stream_is_being_handled incorrectly reported
that (1) an exit port was "handled" by a circuit regardless of
whether the circuit was already isolated in some way, and
(2) that a stream could be "handled" by a circuit even if their
isolation settings were incompatible.

As a result of (1), in Tor Browser, circuit_get_unhandled_ports was
reporting that all ports were handled even though all non-internal
circuits had already been isolated by a SOCKS username+password.

Therefore, circuit_predict_and_launch_new was declining to launch
new exit circuits. Then, when the user visited a new site in Tor
Browser, a stream with new SOCKS credentials would be initiated,
and the stream would have to wait while a new circuit with those
credentials could be built. That wait was making the
time-to-first-byte longer than it needed to be.

Now, clean, not-yet-isolated circuit(s) will be automatically
launched ahead of time and be ready for use whenever a new stream
with new SOCKS credentials (or other isolation criteria) is
initiated.

Fixes bug 18859. Thanks to Nick Mathewson for improvements.

Fix a compiler warning

Merge remote-tracking branch 'public/monotime_coarse_stamps'

Merge remote-tracking branch 'teor/bug24488'

Merge branch 'maint-0.3.2'

Merge remote-tracking branch 'dgoulet/bug24502_032_01' into maint-0.3.2

Merge remote-tracking branch 'teor/bug24489'

Merge remote-tracking branch 'dgoulet/bug24502_032_01'

test: Add a KIST test for a non opened channel

This makes sure that a non opened channel is never put back in the channel
pending list and that its state is consistent with what we expect that is
IDLE.

Test the fixes in #24502.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Check the return value of hs_parse_address().

This patch adds a check for the return value of `hs_parse_address()` in
`hs_control_hspost_command()`. Since it should not be possible for
`hs_parse_address()` to fail in this context we wrap the error check
with the `BUG()` macro.

See: https://bugs.torproject.org/24543

Initialize pk so that older gcc versions don't freak out.

Merge branch 'more_directories_squashed'

add a changes file

Update the manpage to describe {Cache,Key}Directory

Also, explain which files should be put in which.

Implement the various get_foodir_*() functions.

Create a CacheDirectory and KeyDirectory options.

They work the same as DataDirectory, but default slightly different.

Tor is not actually updated to use them yet.

Clean up a needlessly complex get_datadir_fname use

New accessors for keydir/cachedir access

This patch is a result of auditing all of our uses of
get_datadir_fname() and its kin, and dividing them into cache vs
keys vs other data.

The new get_keydir_fname() and get_cachedir_fname() functions don't
actually do anything new yet.

Extract common code for creating the keys directory.

This had somehow gotten duplicated between router.c and routerkeys.c

Use get_datadir_fname() accessor in networkstatus.c

Extract the code that creates the datadir into a separate function.

Merge branch 'dgoulet_ticket20699_033_01'

control: Add changes file for HSv3 control port

Part of #20699.

Signed-off-by: David Goulet <dgoulet@torproject.org>

control: Improve ADD_ONION helper function comments

Signed-off-by: David Goulet <dgoulet@torproject.org>

control: Don't use void pointer for ADD_ONION secret key

Make this a bit more safe with at least type checking of the pointers
depending on the version.

Signed-off-by: David Goulet <dgoulet@torproject.org>

test: Add HS_DESC v3 unit tests

This introduces the test_hs_control.c file which at this commit contains basic
unit test for the HS_DESC event.

Signed-off-by: David Goulet <dgoulet@torproject.org>

control: HSPOST command support for v3

Signed-off-by: David Goulet <dgoulet@torproject.org>

control: Don't check if Server is an HSDir for HSPOST

This is removed for two reasons. First, HSDir accepts descriptor even though
they don't think they are in fact an HSDir. This is to avoid consensus desync
between client/service and directories.

Second, our malicious HSDir scanner uses the HSPOST command to post on all
relays in order to test them before they could become HSDir. We had to remove
that check from the tor code that the scanner uses.

Thus, this check should not be enforced by the control port for the above use
cases. It is also a bit more complex with v3 support for which not all HSDir
support it so basically irrelevant check.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Add an handler for the HSPOST command

It is not used yet at this commit.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Add a public function to upload a descriptor to an HSDir

This is groundwork for the HSPOST control port command that needs a way in the
HS subsystem to upload a service descriptor to a specific HSDir.

To do so, we add a public function that takes a series of parameters including
a fully encoded descriptor and initiate a directory request to a specific
routerstatut_t object.

It is for now not used but should be, in future commit, by the HSPOST command.
This commit has no behavior change, only refactoring.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Implement HS_DESC_CONTENT event

Signed-off-by: David Goulet <dgoulet@torproject.org>

control: Support HS v3 for CIRC and CIRC_MINOR event

"REND_QUERY=" can now output a v3 address.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Support HS_DESC UPLOAD failed

When failing to upload a descriptor, signal the control port with a FAILED
event.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Implement HS_DESC UPLOADED event

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Implement HS_DESC UPLOAD event

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Implement HS_DESC CREATED event

This makes the REPLICA= field optional for the control port event. A v2
service will always pass it and v3 is ignored.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Implement HS_DESC RECEIVED event

Adds a v3 specific function to handle a received event.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Implement HS_DESC FAILED event

A new v3 specific function has been added named
control_event_hsv3_descriptor_failed().

The HS v3 subsystem now uses it.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Implement HS_DESC REQUESTED event

This changes the control_event_hs_descriptor_requested() call to add the hsdir
index optional value. v2 passes NULL all the time.

This commit creates hs_control.{c|h} that contains wrappers for the HS
subsystem to interact with the control port subsystem.

The descriptor REQUESTED event is implemented following proposal 284 extension
for v3.

Signed-off-by: David Goulet <dgoulet@torproject.org>

control: Rename two HS v2 specific functions

Make control_event_hs_descriptor_received() and
control_event_hs_descriptor_failed() v2 specific because they take a
rend_data_t object and v3 will need to pass a different object.

No behavior change.

Signed-off-by: David Goulet <dgoulet@torproject.org>

control: Refactor control_event_hs_descriptor_receive_end

First, rename and make that function static because it is internal to
control.c and called by two HS_DESC events.

Second, make it take more basic parameters and thus not a rend_data_t object
so we can still use the function for v3 HS that doesn't use that object.

Third, move the descriptor ID lookup to the two specific events (yes little
code duplication there) because they get a rend_data_t object which won't be
the case for v3.

Finally, through this refactoring, change the pointer check to BUG() and
change some parameter names to reflect what they really are.

No behavior change at this commit.

Signed-off-by: David Goulet <dgoulet@torproject.org>

control: Refactor HS_DESC events functions to not be v2 specific

This is a naming refactor mostly _except_ for a the events' function that take
a rend_data_t which will require much more refactoring.

No behavior change at this commit, cleanup and renaming stuff to not be only
v2 specific.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Downgrade warning log when an intro circuit has closed

When an intro circuit has closed, do not warn anymore when we can't find the
service. It is possible to hit that condition if the service is removed before
the circuits were fully closed. This happens in the case of deleting an
ephemeral service.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Add ephemeral service support

The functions are now used by the ADD_ONION/DEL_ONION control port command as
well. This commits makes them fully functionnal with hidden service v3.

Part of #20699

Signed-off-by: David Goulet <dgoulet@torproject.org>

Change our build process to run Cargo from inside the build tree

Instead of using the cwd to specify the location of Cargo.toml, we
use the --manifest-path option to specify its location explicitly.

This works around the bug that isis diagnosed on our jenkins builds.

Merge branch 'maint-0.3.2'

Tweaks to strings in 24500

Make errno error log more useful for getrandom()

Making errno error log more useful for getrandom() call. Adding if statement to
make difference between ENOSYS and other errors.

Fixes #24500

Signed-off-by: Fernando Fernandez Mancera <ffernandezmancera@gmail.com>

test: Add HSv3 unit test for expiring intro point

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Cleanup HS circuits when marking as closed

First, hs_service_intro_circ_has_closed() is now called in circuit_mark_for
close() because the HS subsystem needs to learn when an intro point is
actually not established anymore as soon as possible. There is a time window
between a close and a free.

Second, when we mark for close, we also remove it from the circuitmap because
between the close and the free, a service can launch an new circuit to that
same intro point and thus register it which only succeeds if the intro point
authentication key is not already in the map.

However, we still do a remove from the circuitmap in circuit_free() in order
to also cleanup the circuit if it wasn't marked for close prior to the free.

Fixes #23603

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Don't cleanup intro point in has_closed()

The hs_service_intro_circ_has_closed() was removing intro point objects if too
many retries.

We shouldn't cleanup those objects in that function at all but rather let
cleanup_intro_points() do its job and clean it properly.

This was causing an issue in #23603.

Furthermore, this moves the logic of remembering failing intro points in the
cleanup_intro_points() function which should really be the only function to
know when to cleanup and thus when an introduction point should be remembered
as a failed one.

Fixes #23603

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'ticket24518'

sched: Set channel scheduler state to IDLE when not opened

In the KIST main loop, if the channel happens to be not opened, set its state
to IDLE so we can release it properly later on. Prior to this fix, the channel
was in PENDING state, removed from the channel pending list and then kept in
that state because it is not opened.

This bug was introduced in commit dcabf801e52a83e2c3cc23ccc1fa906582a927d6 for
which we made the scheduler loop not consider unopened channel.

This has no consequences on tor except for an annoying but harmless BUG()
warning.

Fixes #24502

Signed-off-by: David Goulet <dgoulet@torproject.org>

Don't pass --quiet to cargo for now

Fixes bug 24518.

Merge remote-tracking branch 'isis/bug22907'

Merge branch 'maint-0.3.2'

fix check-changes warning

Merge branch 'maint-0.3.2'

sched: Downgrade warning log to info in KIST

Some platforms don't have good monotonic time support so don't warn when the
diff between the last run of the scheduler time and now is negative. The
scheduler recovers properly from this so no need to be noisy.

Fixes #23696

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'bug23826-23828_squashed'

Changes file for #23826, #23828, and #23870

Document the effects of AuthDirHasIPv6Connectivity

Fixes #23870 on 0.2.4.1-alpha.

Sprinkle some consts in networkstatus_getinfo_by_purpose()

And note where we change the running flag, but probably shouldn't.

Implements ticket 24489.

Make set_routerstatus_from_routerinfo() set IPv6 unspecified addresses

When creating a routerstatus (vote) from a routerinfo (descriptor),
set the IPv6 address to the unspecified IPv6 address, and explicitly
initialise the port to zero.

Also clarify the documentation for the function.

Fixes bug 24488; bugfix on 0.2.4.1-alpha.

Merge branch 'maint-0.3.0' into maint-0.3.1

Merge branch 'maint-0.3.1' into maint-0.3.2