Changelog for 0.2.2.35

Merge branch 'maint-0.2.2' into release-0.2.2

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Add a fix for the buf_pullup bug that Vektor reported

Merge changes files for 0.2.2.35; start work on a blurb

Merge branch 'maint-0.2.2' into release-0.2.2

Merge branch 'maint-0.2.1' into maint-0.2.2

Update to the December 2011 GeoIP database.

Don't call tor_tls_set_logged_address till after checking conn->tls

Fixes bug 4531; partial backport of e27a26d5.

tor_accept_socket() should take tor_addr_t for listener arg

Fixes bug 4535; bugfix on 0.2.2.28-beta; found by "troll_un"

Fix bug 4530; check return val of tor_addr_lookup correctly

Fix on 0.2.1.5-alpha; reported by troll_un

unify changelog stanzas

fold in one more

Merge branch 'maint-0.2.2' into release-0.2.2

Detect tor_addr_to_str failure in tor_dup_addr.

This avoids a possible strdup of an uninitialized buffer.

Fixes 4529; fix on 0.2.1.3-alpha; reported by troll_un.

Merge remote-tracking branch 'public/bug4230' into maint-0.2.2

Fix a compile warning on 64bit OS X

Backport of 68475fc5c5a806ebbb5657de1667dab2c3e09b7c which accidentally
only made it into master. Fixes bug 4547. Bug isn't in any released
version.

fold in more changes files

Merge branch 'maint-0.2.2' into release-0.2.2

man page entries for AuthDir{Fast,GuardBW}Guarantee

parameterize bw cutoffs to guarantee Fast and Guard flags

Now it will be easier for researchers to simulate Tor networks with
different values. Resolves ticket 4484.

Merge branch 'bug4518' into maint-0.2.2

Merge remote-tracking branch 'public/bug3963' into maint-0.2.2

fold in further changes entries

Changes file for bug4521 backports.

Merge branch 'maint-0.2.2' into release-0.2.2

Sockets are unsigned on windows

this gets rid of a warning about signed/unsigned comparison

This is a backport of 0a5338e03cdf14ef80584c6ff8adeb49200b8a76 that
accidentally only went into master

Get rid of an unused parameter warning on win

This is a backport of bed79c47f4ec0ee72b19e2b81c54131d516d07ef which
accidentally only went into master

Only call cull_wedged_cpuworkers once every 60 seconds.

The function is over 10 or 20% on some of Moritz's profiles, depending
on how you could.

Since it's checking for a multi-hour timeout, this is safe to do.

Fixes bug 4518.

Don't log about stats when running as a client without geoip

Completely disable stats if we aren't running as a relay. We won't
collect any anyway, so setting up the infrastructure for them and
logging about them is wrong. This also removes a confusing log
message that clients without a geoip db would have seen.

Fixes bug 4353.

Merge branch 'bug4457_022' into maint-0.2.2

Use real_addr in send_netinfo

Reported by "troll_un"; bugfix on 0.2.0.10-alpha; fixes bug 4349.

Detect failure from event_init() or event_base_new_with_config()

Use the EVENT_BASE_FLAG_NOLOCK flag to prevent socketpair() invocation

In Tor 0.2.2, we never need the event base to be notifiable, since we
don't call it from other threads.  This is a workaround for bug 4457,
which is not actually a Tor bug IMO.

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Merge remote-tracking branch 'karsten/geoip-november2011' into maint-0.2.1

Correct the handling of overflow behavior in smartlist_ensure_capacity

The old behavior was susceptible to the compiler optimizing out our
assertion check, *and* could still overflow size_t on 32-bit systems
even when it did work.

Merge remote-tracking branch 'rransom-tor/bug4426' into maint-0.2.2

Don't warn when compiling with --disable-threads

STMT_VOID semantics suggested by nick, thanks!

Include HiddenServiceDir in some warning messages

Robert says that this bug was not in fact one of frosty's

Merge branch 'bug4424' into maint-0.2.2

Remove an extraneous "if" in the 4424 fix

Don't leak an extend_info_t in rend_client_any_intro_points_usable

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Update to the November 2011 GeoIP database.

Add a changes file for 4410

Fix remotely triggerable assert during ip decryption

Fixes bug 4410.

Merge branch 'bug4383_nm' into maint-0.2.2

Fix a memleak when fetching descriptors for bridges in ExcludeNodes.

Merge remote-tracking branch 'erinn/win-bundle-fix' into maint-0.2.2

remove absolute path from contrib/package_nsis-mingw.sh in order to make it easier to automatically build tor expert bundle

fold in 0.2.2.35 items so far

Merge branch 'maint-0.2.2' into release-0.2.2

Add a changes file for the 4340 fix

Disable stats requiring geoip info if we have none

In other parts of the code we will otherwise attempt to collect these
statistics, and that will lead to crashes.

Discard all cells on a marked connection

Fix for bug 4299

Fix typo, spotted by tmpname0901. Thanks!

Merge branch 'maint-0.2.2' into release-0.2.2

bump maint-0.2.2 to 0.2.2.34-dev

slight correction on the already published changelog

Merge branch 'maint-0.2.2' into release-0.2.2

Merge branch 'maint-0.2.1' into maint-0.2.2

bump maint to 0.2.1.31

forward-port the 0.2.1.31 release notes

add a release blurb

bump to 0.2.2.34

fold in changes entries

Merge branch 'maint-0.2.2' into release-0.2.2

Add option to give guard flag to relays without the CVE-2011-2768 fix

This way, all of the DA operators can upgrade immediately, without nuking
every client's set of entry guards as soon as a majority of them upgrade.

Until enough guards have upgraded, a majority of dirauths should set this
config option so that there are still enough guards in the network. After
a few days pass, all dirauths should use the default.

Don't give the Guard flag to relays without the CVE-2011-2768 fix

Make tor_version_same_series non-static

Merge branch 'maint-0.2.1_secfix' into maint-0.2.2_secfix

Conflicts:
src/or/connection_or.c

Reject create cells on outgoing OR connections from bridges

Mark which OR connections are outgoing

Don't use any OR connection which sent us a CREATE_FAST cell for an EXTEND

Fix suggested by Nick Mathewson.

Don't send a certificate chain on outgoing TLS connections from non-relays

Merge branch 'maint-0.2.2' into release-0.2.2

Merge branch 'maint-0.2.1' into maint-0.2.2

Remove the -F option from tor-resolve.

It used to mean "Force": it would tell tor-resolve to ask tor to
resolve an address even if it ended with .onion.  But when
AutomapHostsOnResolve was added, automatically refusing to resolve
.onion hosts stopped making sense.  So in 0.2.1.16-rc (commit
298dc95dfd8), we made tor-resolve happy to resolve anything.

The -F option stayed in, though, even though it didn't do anything.
Oddly, it never got documented.

Found while fixing GCC 4.6 "set, unused variable" warnings.

manually backport a5232e0c4c

Merge branch 'maint-0.2.2' into release-0.2.2

Merge branch 'maint-0.2.1' into maint-0.2.2

always more commits waiting!

Merge branch 'maint-0.2.2' into release-0.2.2

closer to an 0.2.2.34 changelog

stop asserting at boot

The patch for 3228 made us try to run init_keys() before we had loaded
our state file, resulting in an assert inside init_keys. We had moved
it too early in the function.

Now it's later in the function, but still above the accounting calls.

Reinit keys at the start of options_act().

Previously we did this nearer to the end (in the old_options &&
transition_affects_workers() block).  But other stuff cares about
keys being consistent with options... particularly anything which
tries to access a key, which can die in assert_identity_keys_ok().

Fixes bug 3228; bugfix on 0.2.2.18-alpha.

Conflicts:

src/or/config.c

Don't crash a bridge authority on SIGHUP if it's not in the consensus

Fixes bug 2572.

Fix assert for relay/bridge state change

When we added support for separate client tls certs on bridges in
a2bb0bfdd5 we forgot to correctly initialize this when changing
from relay to bridge or vice versa while Tor is running. Fix that
by always initializing keys when the state changes.

Fixes bug 2433.

Conflicts:

src/or/config.c

Merge remote-tracking branch 'public/cov_run224_022' into maint-0.2.2

Don't crash when accountingmax is set in non-server Tors

We use a hash of the identity key to seed a prng to tell when an
accounting period should end.  But thanks to the bug998 changes,
clients no longer have server-identity keys to use as a long-term seed
in accounting calculations.  In any case, their identity keys (as used
in TLS) were never never fixed.  So we can just set the wakeup time
from a random seed instead there.  Still open is whether everybody
should be random.

This patch fixes bug 2235, which was introduced in 0.2.2.18-alpha.

Diagnosed with help from boboper on irc.

Properly refcount client_identity_key

In a2bb0bf we started using a separate client identity key. When we are
in "public server mode" (that means not a bridge) we will use the same
key. Reusing the key without doing the proper refcounting leads to a
segfault on cleanup during shutdown. Fix that.

Also introduce an assert that triggers if our refcount falls below 0.
That should never happen.

Add some asserts to get_{tlsclient|server}_identity_key

We now require that:
  - Only actual servers should ever call get_server_identity_key
  - If you're being a client or bridge, the client and server keys should
    differ.
  - If you're being a public relay, the client and server keys
    should be the same.

Rename get_client_identity_key to get_tlsclient_identity_key

Maintain separate server and client identity keys when appropriate.

Fixes a bug described in ticket #988.

Conflicts:

src/or/main.c
src/or/router.c

Make crypto_free_pk_env tolerate NULL arg in 0.2.1.  Error-proofing against bug 988 backport

Maintain separate server and client TLS contexts.

Fixes bug #988.

Conflicts:

src/or/main.c
src/or/router.c

Refactor tor_tls_context_new:

* Make tor_tls_context_new internal to tortls.c, and return the new
  tor_tls_context_t from it.

* Add a public tor_tls_context_init wrapper function to replace it.

Conflicts:

src/or/main.c
src/or/router.c

Add public_server_mode function.