Extend tor_sscanf so it can replace sscanf in rephist.c

Fixes bug 4195 and Coverity CID 448

Merge remote-tracking branch 'origin/maint-0.2.3'

Allow wildcarded mapaddress targets in controller MAPADDRESS command

merge changes files into upcoming changelog

Merge remote-tracking branch 'origin/maint-0.2.3'

Merge remote-tracking branch 'public/bug6227' into maint-0.2.3

Merge remote-tracking branch 'origin/maint-0.2.3'

Fix a warning when using glibc's strcspn with clang.

With glibc 2.15 and clang 3.0, I get warnings from where we use the
strcpsn implementation in the header as strcspn(string, "=").  This
is apparently because clang sees that part of the strcspn macro
expands to "="[2], and doesn't realize that that part of the macro
is only evaluated when "="[1] != 0.

Add a unit test for environment_variable_names_equal

I need this because I'm about to frob that function to stop using
strcspn() in order to get rid of a clang warning.

Fix a compilation warning with clang 3.0

In b1ad1a1d0266a20bb we introduced an implicit (but safe)
long-to-int shortening that clang didn't like.

Warning not in any released version of Tor.

Merge remote-tracking branch 'origin/maint-0.2.3'

Downgrade message about md cache cleaning from notice to info

Fix for #6238

Bump the test util/threads timeout up to 150 sec

This should make some debian build systems happier.

Also, increase the select() timeout to a more reasonable 100 msec.

Merge remote-tracking branch 'origin/maint-0.2.3'

Don't do DNS lookups when parsing corrupted managed proxy messages.

The functions parse_{s,c}method_line() were using
tor_addr_port_lookup() which is capable of doing DNS lookups. DNS
lookups should not be necessary when parsing {C,S}METHOD lines.

Merge remote-tracking branch 'public/bug2385'

Merge remote-tracking branch 'origin/maint-0.2.3'

Merge remote-tracking branch 'public/bug6225' into maint-0.2.3

Merge remote-tracking branch 'origin/maint-0.2.3'

Catch a few more K&R violations with make check-spaces

We now catch bare {s that should be on the previous line with a do,
while, if, or for, and elses that should share a line with their
preceding }.

That is,
    if (foo)
    {
and
    if (foo) {
      ...
    }
    else

are now detected.

We should think about maybe making Tor uncrustify-clean some day,
but configuring uncrustify is an exercise in bizarreness, and
reformatting huge gobs of Tor is always painful.

Merge branch 'maint-0.2.3'

fix broken utf8-ism

Merge remote-tracking branch 'origin/maint-0.2.3'

Don't assert in get_string_from_pipe() on len==0

We can treat this case as an EAGAIN (probably because of an
unexpected internal NUL) rather than a crash-worthy problem.

Fixes bug 6225, again.  Bug not in any released version of Tor.

Resolve crash caused by format_helper_exit_status changes in #5557

Because the string output was no longer equal in length to
HEX_ERRNO_SIZE, the write() call would add some extra spaces and
maybe a NUL, and the NUL would trigger an assert in
get_string_from_pipe.

Fixes bug 6225; bug not in any released version of Tor.

Merge branch 'bug5099_nm' into maint-0.2.3

Tweak bug5099 changes file

Improve log message issued when a managed proxy fails to launch.

Merge remote-tracking branch 'origin/maint-0.2.3'

Merge remote-tracking branch 'public/bug6211' into maint-0.2.3

Merge remote-tracking branch 'public/bug6203_v2' into maint-0.2.3

Merge remote-tracking branch 'origin/maint-0.2.3'

Style tweaks and add a warning about NUL-termination

Add unit test for format_hex_number_for_helper_exit_status()

Refactor unsigned int hex formatting out of format_helper_exit_status() in util.c

Make format_helper_exit_status() avoid unnecessary spaces

Increment master branch version to 0.2.4.0-alpha-dev

Fix a regression bug in AllowDotExit

The code that detected the source of a remapped address checked that
an address mapping's source was a given rewrite rule if addr_orig had
no .exit, and addr did have a .exit after processing that rule.  But
addr_orig was formatted for logging: it was not the original address
at all, but rather was the address escaped for logging and possibly
replaced with "[scrubbed]".

This new logic will correctly set ADDRMAPSRC_NONE in the case when the
address starts life as a .exit address, so that AllowDotExit can work
again.

Fixes bug 6211; bugfix on 0.2.3.17-beta

Disable warning for marked-but-reading in main.c

It turns out this can happen.  Even though there is no reason for
connections to be marked but reading, we leave them reading anyway,
so warning here is unwarranted.  Let's turn that back on once we do
something sensible and disable reading when we mark.  Bugfix for
6203 on Tor 0.2.3.17-beta.

Thanks to cypherpunks for pointing out the general stupidity of the
original code here.

add bug number and explanation to changes/bug2385; call it a feature

Clear a couple more fields in rend_service_load_auth_keys

Refactor exit path in rend_service_load_auth_keys

Now it's an orthodox "goto err/done" exit path, and it isn't some
screwy thing where we stick err/done at the end of a loop and
duplicate our cleanup code.

Fix indentation in rend_service_load_auth_keys

Refactor rend_service_load_keys() into main portion and auth portion.

Fix indentation and whitespace in rend_service_load_keys

Refactor rend_service_load_keys() into outer loop and loop contents

Merge remote-tracking branch 'public/bug3311'

Merge branch 'bug4748_squashed'

Document 0.2.3.x torrc/default-torrc/command line semantics changes

Bug 4748

squash! Document 0.2.3.x torrc/default-torrc/command line semantics changes

Incorporates fixes suggested by rransom.

Merge branch 'bug6173_rebased'

Merge remote-tracking branch 'andrea/bug6028'

oops: AC_RUN_IFELSE gets offended if I don't give it a AC_LANG_PROGRAM

More sophisticated attempt at detecting working linker options

On some platforms, the linker is perfectly happy to produce binaries
that won't run if you give it the wrong set of flags.  So when not
cross-compiling, try to link-and-run a little test program, rather
than just linking it.

Possible fix for 6173.

conn_type_to_string() on a listener already says it's a listener

Add change file bug2385

Appease make check-spaces

Clean up keys on stack in rend_parse_service_authorization()

Clean up keys on stack in rend_client_refetch_v2_renddesc()

Clean up keys on stack in rend_client_send_introduction()

In rend_service_load_keys(), clear extended descriptor cookie and buffer, clear temporary heap space for client key, and check if serializing client key fails

Clean keys on stack in rend_service_rendezvous_has_opened()

Clean keys on stack in rend_service_intro_has_opened()

Clean up keys on stack in rend_service_introduce()

Clean up keys on stack in rend_service_load_keys()

fix the typo on the typo fix

Always set *socket_error to something appropriate when returning -1 from connection_connect()

fix typos from 783f705d

fix a compiler warning added in one of my XXX023 fixes.

Whitespace fix

Fix a typo found by Mike.

Merge remote-tracking branch 'public/xxx023'

Clarify some messages about publishing hidden service descriptors

Fix for bug 3311.

Check the correct consensus before giving it to the client

Previously, a directory would check the latest NS consensus for
having the signatures the client wanted, and use that consensus's
valid_until time to set the HTTP lifetime.  With this patch, the
directory looks at NS consensus or the microdesc consensus,
depending on what the client asked for.

Change a silent ignore-the-bug in microdesc.c to a LOG_INFO

I don't believe this bug occurs, but there was an XXX023 to make
sure it doesn't.

Move tor_gettimeofday_cached() into compat_libevent

Refactor GETINFO process/descriptor-limit

Previously it duplicated some getrlimit code and content from compat.c;
now it doesn't.

Document that we are unlikely to underflow session group IDs.

Triage the XXX023 and XXX022 comments: postpone many.

Merge remote-tracking branch 'public/bug5932'

Downgrade log messages about cbt enabled/disabled. Bug 6169.

whitespace fix

bump to 0.2.3.17-beta-dev

give 0.2.3.17-beta a release blurb

another little step at making debugging 5458 easier

tab-man returneth (this time using the name 'rob')

fix typos, logic error, default in man page

bump to 0.2.3.17-beta

fold in next changes items

Expand on bug5458 changes file

Add a changes file for bug5458.

Lower the default path bias notice rate to 40%.

I saw 72% on a test run with 26 circuits. 70% might be a little close to the
line. That, or min_circs is too low and we need to be more patient. We still
need to test/simulate more.

For now, never disable any guards.

Defend against entry node path bias attacks

The defense counts the circuit failure rate for each guard for the past N
circuits. Failure is defined as the ability to complete a first hop, but not
finish completing the circuit all the way to the exit.

If the failure rate exceeds a certain amount, a notice is emitted.

If it exceeds a greater amount, a warn is emitted and the guard is disabled.

These values are governed by consensus parameters which we intend to tune as
we perform experiments and statistical simulations.

Document --hush; fix documentation for --quiet.

Merge remote-tracking branch 'asn-mytor/bug5589_take2'

Remove validate_pluggable_transports_config(): redundant since 9d9b5ed0.

The warning message of validate_pluggable_transports_config() is
superseded by the changes in the warning message of
connection_or_connect() when the proxy credentials can't be found.

demote two entries that don't affect most users

fold in further changes files

Merge remote-tracking branch 'public/bug4663'

Merge branch 'trac-5049-squashed'