Merge remote-tracking branch 'dgoulet/ticket27774_035_03'

man: Fix format typo for HiddenServiceExportCircuitID

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge remote-tracking branch 'ahf-github/asn/bugs4700_2'

Changes file for #26747

Merge branch 'split_mainloop_onion'

Merge branch 'maint-0.3.4'

Merge branch 'maint-0.3.3' into maint-0.3.4

Merge branch 'maint-0.3.2' into maint-0.3.3

Merge branch 'maint-0.2.9' into maint-0.3.2

Merge remote-tracking branch 'dgoulet/ticket27797_035_01'

Split main.c into main.c and mainloop.c

The main.c code is responsible for initialization and shutdown;
the mainloop.c code is responsible for running the main loop of Tor.

Splitting the "generic event loop" part of mainloop.c from the
event-loop-specific part is not done as part of this patch.

Move the non-crypto parts of onion.c out of src/core/crypto

The parts for handling cell formats should be in src/core/or.

The parts for handling onionskin queues should be in src/core/or.

Only the crypto wrapper belongs in src/core/crypto.

Bump to 0.3.5.2-alpha-dev

Document the haproxy option of HiddenServiceExportCircuitID.

See: https://bugs.torproject.org/4700

hs-v3: Don't BUG() if the RP node_t is invalid client side

When sending the INTRODUCE1 cell, we acquire the needed data for the cell but
if the RP node_t has invalid data, we'll fail the send and completely kill the
SOCKS connection.

Instead, close the rendezvous circuit and return a transient error meaning
that Tor can recover by selecting a new rendezvous point. We'll also do the
same when we are unable to encode the INTRODUCE1 cell for which at that point,
we'll simply take another shot at a new rendezvous point.

Fixes #27774

Signed-off-by: David Goulet <dgoulet@torproject.org>

Set a release date

Put dirlist_free_all back in routerlist_free_all for unit tests

Bump to 0.3.5.2-alpha

Start on an 0.3.5.2-alpha changelog

changes for 27799

Merge remote-tracking branch 'dgoulet/ticket27410_035_01'

Merge remote-tracking branch 'dgoulet/ticket27410_032_01'

Support 'none' in torrc for HiddenServiceExportCircuitID.

See: https://bugs.torproject.org/4700

Merge branch 'bug23512-v4-029-fixes'

Remove another needless typedef

Merge branch 'bug23512-v4-029-fixes'

Fix a pair of errors in bug23512

Fix an NSS socket leak-on-error found by dgoulet

Use the correct macro to detect an invalid socket in tortls_nss.c

Fixes bug 27782; bugfix on 0.3.5.1-alpha

Release ownership of the dummy socket that tortls_nss.c will close

Related to #27795 -- since NSS will close the socket, we must not
count it as owned by Tor.

Fix socket accounting with ORConn sockets.

When we close a socket via tor_tls_free(), we previously had no way
for our socket accounting logic to learn about it.  This meant that
the socket accounting code would think we had run out of sockets,
and freak out.

Fixes bug 27795; bugfix on 0.3.5.1-alpha.

Add a tor_release_socket_ownership() function.

Merge branch 'split_routerlist_dirserv_v2'

Split most of dirserv.c into several new modules

In dirauth:
  * bwauth.c reads and uses bandwidth files
  * guardfraction.c reads and uses the guardfraction file
  * reachability.c tests relay reachability
  * recommend_pkg.c handles the recommended-packages lines.
  * recv_descs.c handles fingerprint files and processing incoming
    routerinfos that relays upload to us
  * voteflag.c computes flag thresholds and sets those thresholds on
    routerstatuses when computing votes

In control:
  * fmt_serverstatus.c generates the ancient "v1 server status"
    format that controllers expect.

In nodelist:
  * routerstatus_fmt.c formats routerstatus entries for a consensus,
    a vote, or for the controller.

hs-v3: Close all SOCKS request on descriptor failure

Client side, when a descriptor is finally fetched and stored in the cache, we
then go over all pending SOCKS request for that descriptor. If it turns out
that the intro points are unusable, we close the first SOCKS request but not
the others for the same .onion.

This commit makes it that we'll close all SOCKS requests so we don't let
hanging the other ones.

It also fixes another bug which is having a SOCKS connection in RENDDESC_WAIT
state but with a descriptor in the cache. At some point, tor will expire the
intro failure cache which will make that descriptor usable again. When
retrying all SOCKS connection (retry_all_socks_conn_waiting_for_desc()), we
won't end up in the code path where we have already the descriptor for a
pending request causing a BUG().

Bottom line is that we should never have pending requests (waiting for a
descriptor) with that descriptor in the cache (even if unusable).

Fixees #27410.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.2' of https://git.torproject.org/tor into maint-0.3.2

Merge branch 'maint-0.3.4'

Merge remote-tracking branch 'github/bug27139_034' into maint-0.3.4

node: Make node_supports_v3_rendezvous_point() also check for the key

It is not enough to look at protover for v3 rendezvous support but also we
need to make sure that the curve25519 onion key is present or in other words
that the descriptor has been fetched and does contain it.

Fixes #27797.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Split routerlist.c into 4 separate modules

There are now separate modules for:
    * the list of router descriptors
    * the list of authorities and fallbacks
    * managing authority certificates
    * selecting random nodes

test: hs-v3 desc has arrived unit test

That unit test makes sure we don't have pending SOCK request if the descriptor
turns out to be unusable.

Part of #27410.

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Close all SOCKS request on descriptor failure

Client side, when a descriptor is finally fetched and stored in the cache, we
then go over all pending SOCKS request for that descriptor. If it turns out
that the intro points are unusable, we close the first SOCKS request but not
the others for the same .onion.

This commit makes it that we'll close all SOCKS requests so we don't let
hanging the other ones.

It also fixes another bug which is having a SOCKS connection in RENDDESC_WAIT
state but with a descriptor in the cache. At some point, tor will expire the
intro failure cache which will make that descriptor usable again. When
retrying all SOCKS connection (retry_all_socks_conn_waiting_for_desc()), we
won't end up in the code path where we have already the descriptor for a
pending request causing a BUG().

Bottom line is that we should never have pending requests (waiting for a
descriptor) with that descriptor in the cache (even if unusable).

Fixees #27410.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Comment fix.

Merge branch 'ticket27686_035'

Merge remote-tracking branch 'tor-github/pr/352'

Merge branch 'maint-0.3.4'

Merge branch 'maint-0.3.3' into maint-0.3.4

Merge remote-tracking branch 'onionk/rust-allsupported1' into maint-0.3.3

Merge remote-tracking branch 'github/bug27073_029'

Merge remote-tracking branch 'tor-github/pr/344'

Changes file for 27764

Merge remote-tracking branch 'asn-github/bug27764'

Bump to 0.3.5.1-alpha-dev

Fix minor memleak in edge-case of crypto_rsa.c function.

Merge remote-tracking branch 'teor/ticket27757'

ChangeLog: add onion service versions to the Tor2web deprecation notice

Tor2web was never implemented for v3 onion services.

ChangeLog: the ContactInfo UTF-8 requirement is a major UI change

(Even if it only affects a few relay operators.)

ChangeLog: bugfixes are on previous releases, not this release

ChangeLog: delete both consensus flavours to un-break nss

The required protocol version check occurs before the consensus flavour
check. So on directory mirrors (and some client configs), alpha users need
to delete both consensus flavours to workaround nss bugs.

Closes ticket 27756.

Merge branch 'bug23512-v4-033' into bug23512-v4-master

Bug 23512: Test fix: cmux is now allocated by new_fake_channel()

Merge branch 'bug23512-v4-032' into bug23512-v4-033

Remove duplicate TLS define from kist code.

Duplicate comes from introducing this define into 0.2.9, which did not yet
have KIST.

Bug 23512: Mock assert_circuit_ok in tests.

This mocking was not available in 0.2.9.

Merge branch 'bug23512-v4-029' into bug23512-v4-032

Bug 23512: Test recording bytes in circ queues.

Bug 23512: Changes file.

Bug 23512: Report queued cells on or circs as written.

This avoids asymmetry in our public relay stats, which can be exploited for
guard discovery and other attacks.

Promote rep_hist bw functions to uint64_t.

The rest of rephist uses uint64_t internally. Let's make these take it too,
so we don't have to worry about overflowing size_t on 32 bit systems.

More changelog edits

Write a blurb, pull UI changes to the front, edit

Light edits on changelog. mostly combining sections.

Lower the maximum size of a private key file to 16 MB

This shouldn't be a user-visible change: nobody has a 16 MB RSA
key that they're trying to use with Tor.

I'm doing this to fix CID 1439330 / ticket 27730, where coverity
complains (on 64-bit) that we are making a comparison that is never
true.

Bump to 0.3.5.1-alpha

Start a changelog for 0.3.5.1-alpha

Add tortls.h includes to expose critical macro. Fix #27734.

Don't try to link C from rust doctests for nss detection

This is really annoying, since we can't use cfg(test) for doctests.

Merge branch 'bug25573-034-typefix'

Fix duplicate declaration of pathbias_count_valid_cells.

When Tor is compiled with NSS, don't claim support for LinkAuth=1

Closes ticket 27288

Update description of onion_extend_cpath() (#27333)

Add proxy headers as early as possible.

This patch moves the logic that adds the proxy headers to an earlier
point in the exit connection lifetime, which ensures that the
application data cannot be written to the outbuf before the proxy header
is added.

See: https://bugs.torproject.org/4700

Change HiddenServiceExportCircuitID to take a string parameter: the protocol.

This patch changes HiddenServiceExportCircuitID so instead of being a
boolean it takes a string, which is the protocol. Currently only the
'haproxy' protocol is defined.

See: https://bugs.torproject.org/4700

Encode the 32-bit Global Identifier as 2 x 16-bit in the IPv6 address.

Without this patch we would encode the IPv6 address' last part as
::ffffffff instead of ::ffff:ffff when the GID is UINT32_MAX.

See: https://bugs.torproject.org/4700

Add man page entry.

Add unittest for HiddenServiceExportCircuitID.

Had to move a function to test helpers.

Save original virtual port in edge conn HS ident.

Improve export_hs_client_circuit_id() function.

- Change default values.
- Beautify.
- Documentation.

Introduce per-service HiddenServiceExportCircuitID torrc option.

Moves code to a function, better viewed with --color-moved.

Add a missing function for windows

Explicitly ignore BIO_set_close() return val to fix #27711

Merge branch 'maint-0.3.4'

Merge branch 'maint-0.3.3' into maint-0.3.4

Merge branch 'maint-0.3.2' into maint-0.3.3

hs-v3: Don't BUG() on directory permission check failure

In hs_config.c, we do validate the permission of the hidden service directory
but we do not try to create it. So, in the event that the directory doesn't
exists, we end up in the loading key code path which checks for the
permission and possibly creates the directory. On failure, don't BUG() since
there is a perfectly valid use case for that function to fail.

Fixes #27335

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge remote-tracking branch 'dgoulet/ticket27040_035_01'

Merge branch 'nss_countbytes_squashed'

Allow malloc includes in tls library

Add support for lower-level byte counting with NSS

This is harder than with OpenSSL, since OpenSSL counts the bytes on
its own and NSS doesn't.  To fix this, we need to define a new
PRFileDesc layer that has its own byte-counting support.

Closes ticket 27289.

hs-v2: Demote log warning to info when we don't have a consensus

Fixes #27040

Signed-off-by: David Goulet <dgoulet@torproject.org>