A few more get_parent_directory tests.

Have get_parent_directory() handle "/foo" and "/" correctly.

The parent of "/foo" is "/"; and "/" is its own parent.

This would cause Tor to fail if you tried to have a PF_UNIX control
socket in the root directory.  That would be a stupid thing to do
for other reasons, but there's no reason to fail like _this_.

Bug found by Esteban Manchado Velázquez. Fix for bug 5089; bugfix on
Tor 0.2.2.26-beta.  Unit test included.

Make the succeeding parse_http_time tests more obviously right

(When the correct answer is given in terms of seconds since the
epoch, it's hard to be sure that it really is the right answer
just by reading the code.)

Merge branch 'bug5346_squashed' into maint-0.2.2

Fix month check in parse_http_time, add test

Remove more dubiosity in struct tm handling. related to bug5346

changes file for branch bug5346

Reject an additional type of bad date in parse_http_time

Fix parse_http_time and add tests

* It seems parse_http_time wasn't parsing correctly any date with commas (RFCs
  1123 and 850). Fix that.
* It seems parse_http_time was reporting the wrong month (they start at 0, not
  1). Fix that.
* Add some tests for parse_http_time, covering all three formats.

Correct the bulletproofing of routerlist_insert()

The original code updated some variables, but forgot to remove a
replaced old-routerdesc from rl->old_routers.

Related to bug 1776.

Clarify MaxCircuitDirtiness behavior with hidden services. Bug 5259.

Merge branch 'bug5796_022_squashed' into maint-0.2.2

Fix a crash bug on SETCIRCUITPURPOSE.

Merge remote-tracking branch 'karsten/geoip-may2012' into maint-0.2.2

fix over-wide line from f661747370

Merge branch 'bug5786_range_022' into maint-0.2.2

Add changes/bug5760

Add missing CRLFs to AUTHCHALLENGE failure replies
Fix #5760

Handle out-of-range values in tor_parse_* integer functions

The underlying strtoX functions handle overflow by saturating and
setting errno to ERANGE.  If the min/max arguments to the
tor_parse_* functions are equal to the minimum/maximum of the
underlying type, then with the old approach, we wouldn't treat a
too-large value as genuinely broken.

Found this while looking at bug 5786; bugfix on 19da1f36 (in Tor
0.0.9), which introduced these functions.

Update to the May 2012 GeoIP database.

Fix a log-uninitialized-buffer bug.

Fix for 5647; bugfix on 0.2.1.5-alpha.

rend_service_introduce(): do protocol violation check before anything else.

(Cherry-picked from 6ba13e4 by nickm)

Merge branch 'bug5593' into maint-0.2.2

Update to the April 2012 GeoIP database.

Include a Host: header with any HTTP/1.1 proxy request

Bugfix on 0.2.2.1-alpha, which added the orginal HTTP proxy
authentication code.  Fix for bug 5593.

Wrap long line; strlen("ides")<strlen("turtles").

ides has become turtles, and gotten a new IP address

As per ticket 5569

put a _ before or_options_t elements that aren't configurable

it's fine with me if we change the current convention, but we should
actually decide to change it if we want to.

BridgePassword was never for debugging

It is for the not-yet-implemented bridge community design.

Do not use strcmp() to compare an http authenticator to its expected value

This fixes a side-channel attack on the (fortunately unused!)
BridgePassword option for bridge authorities.  Fix for bug 5543;
bugfix on 0.2.0.14-alpha.

Safe cookie authentication gets a changes file

Merge remote-tracking branch 'rransom-tor/safecookie-022-v3' into maint-0.2.2

Merge commit 'a5704b1c624c9a808f52f3a125339f00e2b9a378' into maint-0.2.2

Use a given name in the bug5090 message, at its holder's request.

Never choose a bridge as an exit. Bug 5342.

Revise "sufficient exit nodes" check to work with restrictive ExitNodes

If you set ExitNodes so that only 1 exit node is accepted, the
previous patch would have made you unable to build circuits.

Merge branch 'bug5343' into maint-0.2.2

Oops; credit bug5090 patch to flupzor. estebanm only found the bug.

Correctly handle broken escape sequences in torrc values

Previously, malformatted torrc values could crash us.

Patch by Esteban Manchado.  Fixes bug 5090; fix on 0.2.0.16-alpha.

Require a threshold of exit nodes before building circuits

This mitigates an attack proposed by wanoskarnet, in which all of a
client's bridges collude to restrict the exit nodes that the client
knows about.  Fixes bug 5343.

Fix compile warnings in openbsd malloc

Merge remote-tracking branch 'karsten/geoip-march2012' into maint-0.2.2

Update to the March 2012 GeoIP database.

new ip address for maatuska

Implement 'safe cookie authentication'

Add a sha256 hmac function, with tests
(cherry picked from commit fdbb9cdf746bbf0c39c34188baa8872471183ff7)

Properly protect paths to sed, sha1sum, openssl

in Makefile.am, we used it without quoting it, causing build failure if
your openssl/sed/sha1sum happened to live in a directory with a space in
it (very common on windows)

Downgrade "missing a certificate" from notice to info

It was apparently getting mistaken for a problem, even though it was
at notice.

Fixes 5067; fix on 0.2.0.10-alpha.

Use correct CVE number for CVE-2011-4576. Found by fermenthor. bug 5066

Merge branch 'maint-0.2.1' into maint-0.2.2

Revert "add  a "docs" to the manual URI as listed in torrc.sample.in"

This reverts commit 55e8cae81553678ec77ce6b8fb1bf2d5e483e0aa.

The conversation from irc:
> weasel: i had intended to leave torrc.sample.in alone in maint-0.2.2,
since i don't want to make all your stable users have to deal with
a torrc change. but nickm changed it. is it in fact the case that a
change in that file means a change in the deb?
<weasel> it means you'll prompt every single user who ever touched
their torrc
<weasel> and they will be asked if they like your new version better
than what they have right now
<weasel> so it's not great

Instead I changed the website to redirect requests for the tor-manual
URL listed in maint-0.2.2's torrc.sample.in so the link will still work.

Update to the February 2012 GeoIP database.

add  a "docs" to the manual URI as listed in torrc.sample.in

Update "ClientOnly" man page entry

There isn't really any point to messing with it. Resolves ticket 5005.

Merge remote-tracking branch 'public/bug4533_part2' into maint-0.2.2

Documentation for GiveGuardFlagTo... option

Fix SOCKET_OK test on win64.

Bugfix on 0.2.2.29-beta; partial fix for 4533; found by wanoskarnet

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Fix a compilation warning for our bug4822 fix on 64-bit linux

Fix comment about TLSv1_method() per comments by wanoskarnet

Fix a trivial log message error in renservice.c

Fixes bug 4856; bugfix on 0.0.6

This bug was introduced in 79fc5217, back in 2004.

when the consensus fails, list which dir auths were in or out

nickname, not identity fingerprint, will help more

tell me who votes are actually for, not just where they're from

add a note from wanoskarnet

he disagrees about what the code that we decided not to use would do

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Merge branch 'bug4822_021_v2_squashed' into maint-0.2.1

Log at info level when disabling SSLv3

Add a changes file for bug4822

Disable SSLv3 when using a not-up-to-date openssl

This is to address bug 4822, and CVE-2011-4576.

Merge branch 'maint-0.2.1' into maint-0.2.2

add a changes file for ticket 4825

Update to the January 2012 GeoIP database.

Fix spelling in a controlsocket log msg

Fixes bug 4803.

Merge remote-tracking branch 'public/bug4788' into maint-0.2.2

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Bug 4786 fix: don't convert EARLY to RELAY on v1 connections

We used to do this as a workaround for older Tors, but now it's never
the correct thing to do (especially since anything that didn't
understand RELAY_EARLY is now deprecated hard).

Authorities reject insecure Tors.

This patch should make us reject every Tor that was vulnerable to
CVE-2011-0427.  Additionally, it makes us reject every Tor that couldn't
handle RELAY_EARLY cells, which helps with proposal 110 (#4339).

Provide correct timeradd/timersup replacements

Bug caught and patch provided by Vektor. Fixes bug 4778.t

Do not even try to keep going on a socket with socklen==0

Back in #1240, r1eo linked to information about how this could happen
with older Linux kernels in response to nmap.  Bugs #4545 and #4547
are about how our approach to trying to deal with this condition was
broken and stupid.  Thanks to wanoskarnet for reminding us about #1240.

This is a fix for the abovementioned bugs, and is a bugfix on
0.1.0.3-rc.

Merge remote-tracking branch 'sebastian/clang-3.0-fixes_022' into maint-0.2.2

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Add a fix for the buf_pullup bug that Vektor reported

Build with warnings and clang 3.0

--enable-gcc-warnings enables two warnings that clang doesn't support,
so the build fails. We had hoped clang 3.0 would add those, but it
didn't, so let's just always disable those warnings when building with
clang. We can still fix it later once they add support

Merge branch 'maint-0.2.1' into maint-0.2.2

Update to the December 2011 GeoIP database.

Don't call tor_tls_set_logged_address till after checking conn->tls

Fixes bug 4531; partial backport of e27a26d5.

tor_accept_socket() should take tor_addr_t for listener arg

Fixes bug 4535; bugfix on 0.2.2.28-beta; found by "troll_un"

Fix bug 4530; check return val of tor_addr_lookup correctly

Fix on 0.2.1.5-alpha; reported by troll_un

Detect tor_addr_to_str failure in tor_dup_addr.

This avoids a possible strdup of an uninitialized buffer.

Fixes 4529; fix on 0.2.1.3-alpha; reported by troll_un.

Merge remote-tracking branch 'public/bug4230' into maint-0.2.2

Fix a compile warning on 64bit OS X

Backport of 68475fc5c5a806ebbb5657de1667dab2c3e09b7c which accidentally
only made it into master. Fixes bug 4547. Bug isn't in any released
version.

man page entries for AuthDir{Fast,GuardBW}Guarantee

parameterize bw cutoffs to guarantee Fast and Guard flags

Now it will be easier for researchers to simulate Tor networks with
different values. Resolves ticket 4484.

Merge branch 'bug4518' into maint-0.2.2

Merge remote-tracking branch 'public/bug3963' into maint-0.2.2

Changes file for bug4521 backports.

Sockets are unsigned on windows

this gets rid of a warning about signed/unsigned comparison

This is a backport of 0a5338e03cdf14ef80584c6ff8adeb49200b8a76 that
accidentally only went into master

Get rid of an unused parameter warning on win

This is a backport of bed79c47f4ec0ee72b19e2b81c54131d516d07ef which
accidentally only went into master

Only call cull_wedged_cpuworkers once every 60 seconds.

The function is over 10 or 20% on some of Moritz's profiles, depending
on how you could.

Since it's checking for a multi-hour timeout, this is safe to do.

Fixes bug 4518.