Use our x509 wrapper code in tor_tls_cert_matches_key()

This allows us to mock our own tor_tls_get_peer_certificate()
function in order to test ..cert_matches_key(), which will in turn
allow us to simplify test_tortls_cert_matches_key() considerably.

Prep work for the fix for 27226.

Merge remote-tracking branch 'github/bug27081_029' into maint-0.2.9

Update geoip and geoip6 to the August 7 2018 database.

Don't search for -lpthread on Windows

If we're building for Windows, we want to use windows threads no
matter what, and we don't want to link a pthread library even if it
is present.  Fixes bug 27081; bugfix on 1790dc67607799a in 0.1.0.1-rc.

Changes file for 25440

Fix crash when calling openat with sandbox enabled #25440

The seccomp rule for the openat syscall checks for the AT_FDCWD
constant. Because this constant is usually a negative value, a
cast to unsigned int is necessary to make sure it does not get
converted to uint64_t used by seccomp.

More info on:
https://github.com/seccomp/libseccomp/issues/69#issuecomment-273805980

Merge branch 'fix_nonstandard_malloc_029' into maint-0.2.9

Stop logging link auth warnings on Single Onion Services and Tor2web

Instead, log a protocol warning when single onion services or
Tor2web clients fail to authenticate direct connections to relays.

Fixes bug 26924; bugfix on 0.2.9.1-alpha.

Changes file for bug 26787

Try putting ulimit -c 0 in test_bt.sh to see if it fixes bug 26787

Merge branch 'bug26485_029_squashed' into maint-0.2.9

Add a test for format_recommended_version_list.

Warn when an authority has voted for a version with a space in it.

Another way to try to prevent a recurrence of 26485.

Warn the directory authority operator if their versions list is bogus

Prevents bug 26485; bugfix on 0.1.1.6-alpha.

SKIP test_keygen.sh on Windows until the underlying issue is resolved

Skip an unreliable key generation test on Windows, until the underlying
issue in bug 26076 is resolved.

Fixes bug 26830; bugfix on 0.2.7.3-rc.

put new bridge auth Serge into place

The "Bifroest" bridge authority has been retired; the new bridge authority
is "Serge", and it is operated by George from the TorBSD project.

Closes ticket 26771.

When setting a nonstandard malloc, disable the system malloc.

Closes ticket 20424.

Merge branch 'bug26269_029' into maint-0.2.9

Update geoip and geoip6 to the July 3 2018 database.

Merge branch 'bug26535_029' into maint-0.2.9

ntor_ref.py: pass only strings to subprocess.Popen

Recent Python3 versions seem to require this on Windows.

Fixes bug 26535; bug introduced in f4be34f70d6f277a0f3f73e, which
was apparently intended itself as a Python3 workaround.

Finally remove our EOL@EOF check.

This check was added by mistake long ago.  It will be nice to see
these EOLs disappear from our code over time.

(backport from master)

Fix a memory error in test_shared_random

Bug not in any released Tor.

Changes file for 26467

Merge remote-tracking branch 'ahf-github/maint-0.2.9' into maint-0.2.9

Merge branch 'feature26372_029' into maint-0.2.9

Fix memory leak in test_sr_setup_commits().

This patch fixes a memory leak in test_sr_setup_commits() where the
place_holder is allocated, but never freed again.

See: Coverity CID 1437440.

Fix memory leak in disk_state_parse_commits().

This patch fixes a memory leak in disk_state_parse_commits() where if
commit is NULL, we continue the internal loop, but without ever freeing
the args variable.

See: Coverity CID 1437441.

Fix memory leak in frac_nodes_with_descriptors().

This patch fixes a memory leak in frac_nodes_with_descriptors() where
we might return without free'ing the bandwidths variable.

See: Coverity CID 1437451.

Fix potential memory leak in test_hs_auth_cookies().

This patch fixes a potential memory leak in test_hs_auth_cookies() if a
test-case fails and we goto the done label where no memory clean up is
done.

See: Coverity CID 1437453

Prefer recent Python 3 in autoconf.

Closes ticket 26372.

Add .editorconfig to follow coding standards style

Fix a GCC "potential null dereference" warning.

Fixes bug 26269; bugfix on c30be5a82d47328 in 0.2.8.2-alpha

Merge branch 'dannenberg_ipv6_029' into maint-0.2.9

Add a changelog entry.

Add IPv6 orport address for dannenberg.

Update geoip and geoip6 to the June 7 2018 database.

Avoid out-of-bounds smartlist access in protover_compute_vote()
and contract_protocol_list()

Merge branch 'bug26116_029' into maint-0.2.9

Add a unit test for PEM-encrypted documents.

Merge branch 'bug26072_029' into maint-0.2.9

Return -1 from our PEM password callback

Apparently, contrary to its documentation, this is how OpenSSL now
wants us to report an error.

Fixes bug 26116; bugfix on 0.2.5.16.

Update geoip and geoip6 to the May 1 2018 database.

Add a missing return after marking a stream for bad connected cell

Fixes bug 26072; bugfix on 0.2.4.7-alpha.

Merge remote-tracking branch 'juga/ticket26007_029_02' into maint-0.2.9

Having a ControlPort open doesn't mean we are a client

The any_client_port_set() returns true if the ControlPort is set which is
wrong because we can have that port open but still not behave as a tor client
(like many relays for instance).

Fixes #26062

Signed-off-by: David Goulet <dgoulet@torproject.org>

Test read bandwidth measurements with empty file

Stop logging stack contents when reading a zero-length bandwidth file

When directory authorities read a zero-byte bandwidth file, they log
a warning with the contents of an uninitialised buffer. Log a warning
about the empty file instead.

Fixes bug 26007; bugfix on 0.2.2.1-alpha.

Merge remote-tracking branch 'catalyst-github/bug25936-029' into maint-0.2.9

Stop logging stack contents when reading a zero-length bandwidth file

When directory authorities read a zero-byte bandwidth file, they log
a warning with the contents of an uninitialised buffer. Log a warning
about the empty file instead.

Fixes bug 26007; bugfix on 0.2.2.1-alpha.

Show test-suite.log for distcheck on Travis CI

When Travis CI runs make distcheck, test-suite.log doesn't exist in
the expected place.  Add a new make target to show this file and use
it when DISTCHECK=yes in .travis.yml.  Fixes bug 25814; bug not in any
released Tor.

Merge branch 'travis_distcheck_029' into maint-0.2.9

Merge branch 'bug24969_029_v2' into maint-0.2.9

Permit the nanosleep system call in the seccomp2 callbox

Fixes bug 24969; bugfix on 0.2.5.1-alpha when the sandbox was introduced.

Add distcheck support to travis configuration.

Implements 25814.

Add support for the coveralls.io coverage tool in travis config

Closes ticket 25818.

Fix an LCOV exclusion pattern in address.c

Merge remote-tracking branch 'ahf-github/bugs/24854_029_2' into maint-0.2.9

Lift the list of default directory servers into their own file.

This patch lifts the list of default directory authorities from config.c
into their own auth_dirs.inc file, which is then included in config.c
using the C preprocessor.

Patch by beastr0.

See: https://bugs.torproject.org/24854

Merge branch 'maint-0.2.5' into maint-0.2.9

Update geoip and geoip6 to the April 3 2018 database.

Fix CID 1430932

Coverity found a null pointer reference in nodelist_add_microdesc().
This is almost certainly impossible assuming that the routerstatus_t
returned by router_get_consensus_status_by_descriptor_digest() always
corresponds to an entry in the nodelist.  Fixes bug 25629.

Remove sb_poll check: all poll() calls are ok.

Add the poll() syscall as permitted by the sandbox

Apparently, sometimes getpwnam will call this.

Fixes bug 25513.

Merge branch 'maint-0.2.5' into maint-0.2.9

Merge remote-tracking branch 'catalyst-github/bug25388-025' into maint-0.2.5

Merge branch 'maint-0.2.5' into maint-0.2.9

Update geoip and geoip6 to the March 8 2018 database.

Bump version to 0.2.9.15-dev

version bump to 0.2.9.15

Protover tests: disable some obsoleted tests

These were meant to demonstrate old behavior, or old rust behavior.

One of them _should_ work in Rust, but won't because of
implementation details.  We'll fix that up later.

Spec conformance on protover: always reject ranges where lo>hi

Forbid UINT32_MAX as a protocol version

The C code and the rust code had different separate integer overflow
bugs here.  That suggests that we're better off just forbidding this
pathological case.

Also, add tests for expected behavior on receiving a bad protocol
list in a consensus.

Fixes another part of 25249.

Forbid "-0" as a protocol version.

Fixes part of 24249; bugfix on 0.2.9.4-alpha.

Add more of Teor's protover tests.

These are as Teor wrote them; I've disabled the ones that don't pass
yet, with XXXX comments.

Add some protover vote round-trip tests from Teor.

I've refactored these to be a separate function, to avoid tricky
merge conflicts.

Some of these are disabled with "XXXX" comments; they should get
fixed moving forward.

Add another NULL-pointer fix for protover.c.

This one can only be exploited if you can generate a correctly
signed consensus, so it's not as bad as 25074.

Fixes bug 25251; also tracked as TROVE-2018-004.

Correctly handle NULL returns from parse_protocol_list when voting.

In some cases we had checked for it, but in others we had not.  One
of these cases could have been used to remotely cause
denial-of-service against directory authorities while they attempted
to vote.

Fixes TROVE-2018-001.

Document how to allow partial Travis failures

Add some commented-out allow_failures clauses to make it easier to
temporarily allow less-critical sub-builds to fail while still
reporting success.

Merge remote-tracking branch 'dgoulet/ticket24902_029_05' into maint-0.2.9

stop calling channel_mark_client in response to a create_fast

since all it does is produce false positives

this commit should get merged into 0.2.9 and 0.3.0 *and* 0.3.1, even
though the code in the previous commit is already present in 0.3.1. sorry
for the mess.

backport to make channel_is_client() accurate

This commit takes a piece of commit af8cadf3a9 and a piece of commit
46fe353f25, with the goal of making channel_is_client() be based on what
sort of connection handshake the other side used, rather than seeing
whether the other side ever sent a create_fast cell to us.

fix make check-changes

Make check-changes happy

Signed-off-by: David Goulet <dgoulet@torproject.org>

man: Document default values if not in the consensus for DoS mitigation

Fixes #25236

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge remote-tracking branch 'dgoulet/bug25223_029_01' into ticket24902_029_05

dos: Add extra safety asserts in cc_stats_refill_bucket()

Never allow the function to set a bucket value above the allowed circuit
burst.

Closes #25202

Signed-off-by: David Goulet <dgoulet@torproject.org>

dos: Don't set consensus param if we aren't a public relay

We had this safeguard around dos_init() but not when the consensus changes
which can modify consensus parameters and possibly enable the DoS mitigation
even if tor wasn't a public relay.

Fixes #25223

Signed-off-by: David Goulet <dgoulet@torproject.org>

dirserv: Improve returned message when relay is rejected

Explicitly inform the operator of the rejected relay to set a valid email
address in the ContactInfo field and contact bad-relays@ mailing list.

Fixes #25170

Signed-off-by: David Goulet <dgoulet@torproject.org>

Have tor_addr hashes return a randomized hash for AF_UNSPEC.

We don't expect this to come up very much, but we may as well make
sure that the value isn't predictable (as we do for the other
addresses) in case the issue ever comes up.

Spotted by teor.

Fix a typo in an address_set.c comment.

Merge branch 'bug23318-redux_029' into maint-0.2.9

Merge remote-tracking branch 'public/bug24198_029' into maint-0.2.9

Merge branch 'ticket24315_029' into maint-0.2.9

Merge remote-tracking branch 'public/bug21074_029' into maint-0.2.9

Merge branch 'bug24978_029_enable' into maint-0.2.9

test: DoS test to make sure we exclude known relays

Part of #25193

Signed-off-by: David Goulet <dgoulet@torproject.org>

dos: Exclude known relays from client connection count

This is to avoid positively identifying Exit relays if tor client connection
comes from them that is reentering the network.

One thing to note is that this is done only in the DoS subsystem but we'll
still add it to the geoip cache as a "client" seen. This is done that way so
to avoid as much as possible changing the current behavior of the geoip client
cache since this is being backported.

Closes #25193

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'ticket25183_029_01' into ticket24902_029_05

test: Add unit tests for addressset.c

This also adds one that tests the integration with the nodelist.

Signed-off-by: David Goulet <dgoulet@torproject.org>