circuit_build_failed: distinguish "first hop chan failed", "CREATE failed"

Roger spotted this on tor-dev in his comments on proposal 221.

(Actually, detect DESTROY vs everything else, since arma likes
network timeout indicating failure but not overload indicating failure.)

Implement proposal 221: Stop sending CREATE_FAST

This makes FastFirstHopPK an AUTOBOOL; makes the default "auto"; and
makes the behavior of "auto" be "look at the consensus."

Avoid illegal read off end of an array in prune_v2_cipher_list

This function is supposed to construct a list of all the ciphers in
the "v2 link protocol cipher list" that are supported by Tor's
openssl.  It does this by invoking ssl23_get_cipher_by_char on each
two-byte ciphersuite ID to see which ones give a match.  But when
ssl23_get_cipher_by_char cannot find a match for a two-byte SSL3/TLS
ciphersuite ID, it checks to see whether it has a match for a
three-byte SSL2 ciphersuite ID.  This was causing a read off the end
of the 'cipherid' array.

This was probably harmless in practice, but we shouldn't be having
any uninitialized reads.

(Using ssl23_get_cipher_by_char in this way is a kludge, but then
again the entire existence of the v2 link protocol is kind of a
kludge.  Once Tor 0.2.2 clients are all gone, we can drop this code
entirely.)

Found by starlight. Fix on 0.2.4.8-alpha. Fixes bug 12227.

update manpage for numentryguards / numdirectoryguards

add a NumDirectoryGuards consensus param too

Add and use a new NumEntryGuards consensus parameter.

When specified, it overrides our default of 3 entry guards.

(By default, it overrides the number of directory guards too.)

Implements ticket 12688.

Merge branch 'curve25519-donna32' into maint-0.2.4

Put the bug number and correct credits in the changes file for the new curve25519-donna32

Merge remote-tracking branch 'karsten/geoip6-jul2014' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Update geoip6 to the July 10 2014 database.

Update geoip to the July 10 2014 database.

Small tweaks to make curve25519-donna32 compile with our warnings

Update to latest curve25519-donna32

Fix changes file for geoip

Merge remote-tracking branch 'karsten/geoip6-jun2014' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Update geoip to the June 4 2014 database.

Update geoip6 to the June 4 2014 database.

Bump maint-0.2.4 version to 0.2.4.22-dev

(See discussion on #9553)

Merge commit 'bb9b4c37f8e7f5cf78918f382e90d8b11ff42551' into maint-0.2.4

Merge remote-tracking branch 'public/ticket11528_024' into maint-0.2.4

Merge remote-tracking branch 'public/bug11513_024' into maint-0.2.4

Merge remote-tracking branch 'public/update_ciphers_ff28' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Conflicts:
src/or/microdesc.c

Downgrade bug 7164 warning to INFO

The 0.2.5.x warning is the one that might help us track this down; the
warnings in stable are just annoying users over and over and over.

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Merge remote-tracking branch 'public/bug10849_023_bruteforce' into maint-0.2.3

Drop the MaxMemInCellQueues lower limit down to 256 MB.

on #9686, gmorehose reports that the 500 MB lower limit is too high
for raspberry pi users.

This is a backport of 647248729fa65f0e51d062e2af8f4e8b38592bf5 to 0.2.4.

Note that in 0.2.4, the option is called MaxMemInCellQueues.

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Stop leaking memory in error cases of md parsing

When clearing a list of tokens, it's important to do token_clear()
on them first, or else any keys they contain will leak.  This didn't
leak memory on any of the successful microdescriptor parsing paths,
but it does leak on some failing paths when the failure happens
during tokenization.

Fixes bug 11618; bugfix on 0.2.2.6-alpha.

Forbid TunneledDirConns 0 and PreferTunneledDirConns 0 if being a HS

Fixes bug 10849; bugfix on 0.2.1.1-alpha (I believe)

Merge remote-tracking branch 'public/bug9229_024' into maint-0.2.4

Supply better and less frequent warnings on circID exhaustion

Fixes the surface behavior of #11553

Elevate server TLS cipher preferences over client

The server cipher list is (thanks to #11513) chosen systematically to
put the best choices for Tor first.  The client cipher list is chosen
to resemble a browser.  So let's set SSL_OP_CIPHER_SERVER_PREFERENCE
to have the servers pick according to their own preference order.

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

remove note about dannenberg; it has upgraded.

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Update the authority signing key blacklist

Now it only has dannenberg

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Conflicts:
src/or/circuituse.c

Merge remote-tracking branch 'public/bug11519_023' into maint-0.2.3

Don't send uninitialized stack to the controller and say it's a date.

Fixes bug 11519, apparently bugfix on 0.2.3.11-alpha.

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Conflicts:
src/or/routerlist.h

Merge branch 'bug11464_023_squashed' into maint-0.2.3

Tweak changes file and comment dates.

Fill in the list of blacklisted signing keys.

I used a list of certificate files from arma, and a little script,
both at 11464.

Code to blacklist authority signing keys

(I need a list of actual signing keys to blacklist.)

New sort order for server choice of ciphersuites.

Back in 175b2678, we allowed servers to recognize clients who are
telling them the truth about their ciphersuites, and select the best
cipher from on that list. This implemented the server side of proposal
198.

In bugs 11492, 11498, and 11499, cypherpunks found a bunch of mistakes
and omissions and typos in the UNRESTRICTED_SERVER_CIPHER_LIST we had.
In #11513, I found a couple more.

Rather than try to hand-edit this list, I wrote a short python script
to generate our ciphersuite preferences from the openssl headers.

The new rules are:
  * Require forward secrecy.
  * Require RSA (since our servers only configure RSA keys)
  * Require AES or 3DES. (This means, reject RC4, DES, SEED, CAMELLIA,
    and NULL.)
  * No export ciphersuites.

Then:
  * Prefer AES to 3DES.
  * If both suites have the same cipher, prefer ECDHE to DHE.
  * If both suites have the same DHE group type, prefer GCM to CBC.
  * If both suites have the same cipher mode, prefer SHA384 to SHA256
    to SHA1.
  * If both suites have the same digest, prefer AES256 to AES128.

Merge remote-tracking branch 'public/bug11437_024' into maint-0.2.4

Update ciphers.inc to match ff28

The major changes are to re-order some ciphers, to drop the ECDH suites
(note: *not* ECDHE: ECDHE is still there), to kill off some made-up
stuff (like the SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA suite), to drop
some of the DSS suites... *and* to enable the ECDHE+GCM ciphersuites.

This change is autogenerated by get_mozilla_ciphers.py from
Firefox 28 and OpenSSL 1.0.1g.

Resolves ticket 11438.

Teach the get_mozilla_ciphers.py script to parse recent firefoxen

Fix a small memory leak when resolving PTR addresses

Fixes bug 11437; bugfix on 0.2.4.7-alpha.

Found by coverity; this is CID 1198198.

Merge branch 'bug9213_doc_024' into maint-0.2.4

Fix documentation of torrc search order

We are searching @CONFDIR@ before $HOME, but the documentation
implied otherwise.

I screwed this up in f5e86bcd6c06d43ff3af5acd8135bd8b577bc3, when I
first documented the $HOME/.torrc possibility.

Fix for bug 9213; bugfix on 0.2.3.18-rc.

whitespace fix

Fix unittest compilation with --disable-curve25519

This is a fix for 9700, which we already fixed in 0.2.5.x, but which
got left in 0.2.4.x.

This is a partial backport of a0a855d586d99540277014ccd3

Remove the unused router_hex_digest_matches

When I removed some unused functions in 5bfa373eeeb, this became
unused as well.

Update ns downloads when we receive a bridge descriptor

This prevents long stalls when we're starting with a state file but
with no bridge descriptors.  Fixes bug 9229.  I believe this bug has
been present since 0.2.0.3-alpha.

Correct the URL in the "a relay on win95???" message

This is a fix for 9393; it's not a bugfix on any Tor version per se,
but rather on whatever Tor version was current when we reorganized the
wiki.

Merge remote-tracking branch 'public/no_itime_queue' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Fix geoip by falling back to registered countries.

See 1d2179bc900f1646a5491b65294e78b175e70056 in master for details.

"""
Fall back to registered country if necessary.

When extracting geoip and geoip6 files from MaxMind's GeoLite2 Country
database, we only look at country->iso_code which is the two-character ISO
3166-1 country code of the country where MaxMind believes the end user is
located.

But if MaxMind thinks a range belongs to anonymous proxies, they don't put
anything there.  Hence, we omit those ranges and resolve them all to '??'.
That's not what we want.

What we should do is first try country->iso_code, and if there's no such
key, try registered_country->iso_code which is the country in which the
ISP has registered the IP address.

In short: let's fill all A1 entries with what ARIN et. al think.
"""

Merge remote-tracking branch 'public/feature9777_024_squashed' into maint-0.2.4

whoops; mistaek in a496010642c2. so many comma

add changes file for bug 10929

Enveigle configure to look for a2x.py as well as a2x.

It's not guaranteed that every package symlinks a2x to a2x.py; OpenBSD
does not do this, so let's just look for a2x.py as well.

Merge remote-tracking branch 'karsten/geoip6-feb2014' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Merge remote-tracking branch 'karsten/geoip-feb2014' into maint-0.2.3

changes file for bug 10904

gcc/clang: Mark macro-generated functions as possible unused

clang 3.4 introduced a new by-default warning about unused static
functions, which we triggered heavily for the hashtable and map function
generating macros. We can use __attribute__ ((unused)) (thanks nickm for
the suggestion :-) ) to silence these warnings.

Update geoip6 to the February 2014 GeoIP database.

Fix windows compilation of e0c8031516852

There is no WSAEPERM; we were implying that there was.This fixes a
bug in e0c8031516852143fb82d8fee91a0f4c576c7418, which hadn't yet
appeared in any released Tor.

Merge branch 'bug10777_netunreach_024' into maint-0.2.4

update changes file

Merge remote-tracking branch 'public/bug10777_nointernal_024' into maint-0.2.4

make EACCES survivable too.

Excise the insertion_time_elem_t logic

It's now redundant with the inserted_time field in packed_cell_t

Fixes bug 10870.

Merge remote-tracking branch 'andrea/bug9602' into maint-0.2.4

Don't treat END_STREAM_REASON_INTERNAL as total circuit failure

It can happen because we sent something that got an ENETUNREACH
response.

Bugfix on 0.2.4.8-alpha; fixes a part of bug 10777.

Call ENETUNREACH a case of NOROUTE, not a case of INTERNAL.

Found by cypherpunks; fix for a part of bug 10777; bugfix on 0.1.0.1-rc.

Make sure orconn->chan gets nulled out when channels exit from channel_free_all() too

Update to the February 2014 GeoIP database.

Survive fedora's openssl in our benchmarks

Apparently fedora currently has ECDH but not P224. This isn't a huge
deal, since we no longer use OpenSSL's P224 ever (see #9780 and
72c1e5acfe1c6). But we shouldn't have segfaulting benchmarks really.

Fixes bug 10835; bugfix on 0.2.4.8-alpha.

Discard circuit paths on which nobody supports ntor

Right now this accounts for about 1% of circuits over all, but if you
pick a guard that's running 0.2.3, it will be about 6% of the circuits
running through that guard.

Making sure that every circuit has at least one ntor link means that
we're getting plausibly good forward secrecy on every circuit.

This implements ticket 9777,

Attribute bug 9602 to a version.

NULL out conns on tlschans when freeing in case channel_run_cleanup() is late; fixes bug 9602

Merge remote-tracking branch 'public/bug9716_024' into maint-0.2.4

changelog for 10793

Some anti-forensics paranoia...

sed -i 's/BN_free/BN_clear_free/g'

Add a missing include

Merge branch 'bug10485_024' into maint-0.2.4

Deliver circuit handshake counts as part of the heartbeat

Previously, they went out once an hour, unconditionally.

Fixes 10485; bugfix on 0.2.4.17-rc.

Clarify DirPort multiplicity

Fix for #10470 as suggested by arma

Merge branch 'bug10465' into maint-0.2.4

Fix automapping to ipv6

Bugfix on 0.2.4.7-alpha; fixes bug 10465.

Merge branch 'bug10456' into maint-0.2.4

Fix a logic error in circuit_stream_is_being_handled.

When I introduced the unusable_for_new_circuits flag in
62fb209d837f3f551, I had a spurious ! in the
circuit_stream_is_being_handled loop.  This made us decide that
non-unusable circuits (that is, usable ones) were the ones to avoid,
and caused it to launch a bunch of extra circuits.

Fixes bug 10456; bugfix on 0.2.4.12-alpha.

Merge branch 'bug10402_redux_024' into maint-0.2.4

Never allow OpenSSL engines to replace the RAND_SSLeay method

This fixes bug 10402, where the rdrand engine would use the rdrand
instruction, not as an additional entropy source, but as a replacement
for the entire userspace PRNG.  That's obviously stupid: even if you
don't think that RDRAND is a likely security risk, the right response
to an alleged new alleged entropy source is never to throw away all
previously used entropy sources.

Thanks to coderman and rl1987 for diagnosing and tracking this down.