Add changes file for 17778

Fix memory leak in ntor test

Merge remote-tracking branch 'teor/exitpolicy-multicast'

Merge remote-tracking branch 'teor/comments-20151204'

Merge branch 'maint-0.2.7'

Merge branch 'maint-0.2.6' into maint-0.2.7

Merge branch 'maint-0.2.5' into maint-0.2.6

Merge branch 'maint-0.2.4' into maint-0.2.5

Comment-only change to connection_get_by_type_addr_port_purpose

connection_get_by_type_addr_port_purpose also ignores connections
that are marked for close.

Comment-only changes to connection_connect

port is in host order (addr is tor_addr_t, endianness is abstracted).

addr and port can be different to conn->addr and conn->port if
connecting via a proxy.

Move a comment in router_get_my_descriptor to the correct line

Update comment: get_connection_array no longer takes "n"

Consistently ignore multicast in internal reject private exit policies

Consistently ignore multicast addresses when automatically
generating reject private exit policies.

Closes ticket 17763. Bug fix on 10a6390deb3c9,
not in any released version of Tor. Patch by "teor".

Update geoip and geoip6 to the December 1 2015 database.

Merge branch 'maint-0.2.7'

Add changes file for 17722

Fix undefined behavior caused by memory overlap

The tor_cert_get_checkable_sig function uses the signing key included in
the certificate (if available) when a separate public key is not given.

When the signature is valid, the tor_cert_checksig function copies the
public key from the checkable structure to the public key field of the
certificate signing key.

In situations where the separate public key is not given but the
certificate includes a signing key, the source and destination pointers
in the copy operation are equal and invoke undefined behavior.

Undefined behaviour is avoided by ensuring both pointers are different.

Avoid relying on malloc internals in test_rend_cache_purge.

Closes ticket 17724. Bug fix on ade5005853c1 and 5e9f2384cf0f,
not in any released version of Tor. Patch by "teor".

More fixes/debugging attempts for 17659

Add a stack trace for help debugging one part of 17659

Merge branch 'fix-policies-memory-v2-squashed'

Fix memory leak in policies test

Fix use-after-free of stack memory in getinfo_helper_policies

Fix use-after-free of stack memory in policies_parse_exit_policy*

Change the function names & comments to make the copying explicit.

use sockaddr_storage for stack-allocated sockets in ersatz socketpair

Make SIZEOF_SOCKADDR return socklen_t to avoid bad compares.

Use uint16_t, not in_port_t (which does not exist on Windows). See #17638.

Check magic number in connection_ap_attach_pending

improve log messages to try to track down #17659

Unit test the full length of SHA256 and SHA512 digests

Bugfix on a tor version before the refactoring in git commit
cea12251995d (23 Sep 2009). Patch by "teor".

Merge remote-tracking branch 'teor/rand-failure-modes-v2'

Fix buffer size in sha512 unit test

Nobody likes a stack overflow, even in unit tests.

Closes 17699; but not in any released tor.

Fix test_tortls.c to no longer test failing crypto_rand.

(crypto_rand is no longer allowed to fail.)

Closes bug 17686; bug not in any released tor.  (No backport, since
the tortls tests aren't in 0.2.7)

Correctly free a smartlist in getinfo_helper_policies

Quote variables in case they contain spaces

Add unit tests that check for common RNG failure modes

Check that crypto_rand doesn't return all zeroes, identical values,
or incrementing values (OpenSSL's rand_predictable feature).

Merge branch 'bug17686_v2_027'

Add a changes file for bug 17686

Fix documentation for crypto_rand*

Now that crypto_rand() cannot fail, it should return void.

Add crypto-initializer functions to those whose return values must be checked

Make crypto_seed_rng() and crypto_rand() less scary.

These functions must really never fail; so have crypto_rand() assert
that it's working okay, and have crypto_seed_rng() demand that
callers check its return value.  Also have crypto_seed_rng() check
RAND_status() before returning.

Merge remote-tracking branch 'teor/check-crypto-errors-v2'

fixup! Add controller getinfo exit-policy/reject-private

Stop ignoring ExitPolicyRejectPrivate in getinfo
exit-policy/reject-private. Fix a memory leak.

Set ExitPolicyRejectPrivate in the unit tests, and make a mock
function declaration static.

Check the return value of HMAC in crypto.c and assert on error

Fixes bug #17658; bugfix on commit in fdbb9cdf746b (11 Oct 2011)
in tor version 0.2.3.5-alpha-dev.

Merge branch 'bug17654_try1'

Attempt to make openbsd compilation happier with libevent2 installed

Fix for bug 16651; patch from "rubiate".

Initialize libevent before periodic events

The initialization of libevent interferes with other tests so we also
fork the circuit_timeout test.

fixup! Block OutboundBindAddressIPv[4|6]_ and configured ports on exit relays

Fix unit tests for get_interface_address6_list to assume less
about the interface addresses on the system.

Instead, mock get_interface_address6_list and use the mocked
function to provide a range of address combinations.

Merge branch 'maint-0.2.7'

Include netinet/in.h (if detected) in check for net/pfvar.h

Patch from rubiate; fixes bug 17551.

Merge remote-tracking branch 'public/decouple_dir_request_failed'

Fix a logic error in connection_tls_continue_handshake().

(If we take the branch above this assertion, than we *didn't* have a
v1 handshake.  So if we don't take the branch, we did.  So if we
reach this assertion, we must be running as a server, since clients
no longer attempt v1 handshakes.)

Fix for bug 17654; bugfix on 9d019a7db725dca3dfdbf8d4dbc3b51835e0b49e.

Bug not in any released Tor.

Merge remote-tracking branch 'teor/comments-20151123'

Merge remote-tracking branch 'atagar/man_page_fixes'

Tweak gtank's sha512 patch a little

Merge remote-tracking branch 'gtank/feature17663'

Merge remote-tracking branch 'teor/feature8961-replaycache-sha256'

Merge branch 'maint-0.2.7'

Fixes for tor's man page

I'm adding Stem test coverage for tor's man page and in doing so ran into quite
a few issues. All of them are pretty minor (worst was misnaming a couple config
options), but still good things to fix. :P

Drop HidServDirectoryV2 and VoteOnHidServDirectoriesV2

These options were removed from tor in July. Time to axe them from our man
page. :P

  https://gitweb.torproject.org/tor.git/commit/?id=2f8cf524ba4e565ab613504a4c41fd724d32facc

add changes for feature17663

Split 'slop' man page options to their own lines

The slop testing options are the only spot where we try to enumerate multiple
options on the same line. Changing them to each be on their own line as we do
elsewhere.

implement teor's comments

TestingLinkCertLifetime was misnamed as 'TestingLinkCertifetime'

Simple typo - we were missing a letter.

Rename RecommendedPackageVersions to RecommendedPackages

A 'RecommendedPackageVersions' option doesn't exist in tor. However, it *does*
have RecommendedPackages...

  feature: https://gitweb.torproject.org/tor.git/commit/?id=c83d8381
  man addition: https://gitweb.torproject.org/tor.git/commit/?id=ddfdeb56

add SHA512 support to crypto

Replace 'SOCKSPort' with 'SocksPort'

When applying changes from proposal 171 Nick renamed SocksPort to SOCKSPort,
and SocksListenAddress to SOCKSListenAddress...

  https://gitweb.torproject.org/tor.git/commit/?id=891ccd3cd0690e83f1dc4dde7698c3bd9d7fe98d

However, this didn't change the option itself in tor (it's still SocksPort),
and wasn't even uniform in the man page. Functionally this doesn't matter
(tor's config options are case insensitive) but this is a pretty clear
regression.

Note in man page where users can file bugs

In addition to inviting users to tell us about bugs, lets say where.

ControlPort's section on flags wasn't indented

Minor formatting issue with our ControlPort entry. The part about flags wasn't
indented with the rest of its description.

Malformed ExtORPort entry in man page

Minor formatting issue with our ExtORPort that caused its description to be on
the same line as the option (munging the two together).

Use SHA256 in the replaycache, rather than SHA1

This migrates away from SHA1, and provides further hash flooding
protection on top of the randomised siphash implementation.

Add unit tests to make sure that different inputs don't have the
same hash.

Fix: use the right list in find_expiring_intro_point()

The wrong list was used when looking up expired intro points in a rend
service object causing what we think could be reachability issues and
triggering a BUG log.

Fixes #16702

Signed-off-by: David Goulet <dgoulet@ev0ke.net>

fix two typos in comments

Fix comments to describe actual return values (crypto.c)

Fix typo in comment on crypto_add_spaces_to_fp

Comment only: crypto_seed_rng no longer has a "startup" parameter

fix "make check-spaces"

Fix compilation warnings

Merge branch 'getinfo-private-exitpolicy-v4-squashed'

Add controller getinfo exit-policy/reject-private

exit-policy/reject-private lists the reject rules added by
ExitPolicyRejectPrivate. This makes it easier for stem to
display exit policies.

Add unit tests for getinfo exit-policy/*.

Completes ticket #17183. Patch by "teor".

Merge branch 'maint-0.2.7'

bump version to 0.2.7-dev

Refactor router_dump_exit_policy_to_string

Split out policy_dump_to_string to use it in getinfo_helper_policies.

Add changes file for ExitPolicyRejectPrivate outbound and port

man update: ExitPolicyRejectPrivate outbound and port addresses

ExitPolicyRejectPrivate now rejects addresses configured via
OutboundBindAddress and any port options, such as ORPort and DirPort.

Block OutboundBindAddressIPv[4|6]_ and configured ports on exit relays

Modify policies_parse_exit_policy_reject_private so it also blocks
the addresses configured for OutboundBindAddressIPv4_ and
OutboundBindAddressIPv6_, and any publicly routable port addresses
on exit relays.

Add and update unit tests for these functions.

Add unit tests for policies_parse_exit_policy_reject_private

Test that policies_parse_exit_policy_reject_private rejects supplied
IPv4 and IPv6 relay addresses, and the addresses of local interfaces.

Refactor policies_parse_exit_policy_internal

Move the code that rejects publicly routable exit relay addresses
to policies_parse_exit_policy_reject_private. Add
addr_policy_append_reject_addr_list and use it to reject interface
addresses.

This removes the duplicate reject checks on local_address and
ipv6_local_address, but duplicates will be removed by
exit_policy_remove_redundancies at the end of the function.

This also removes the info-level logging on rejected interface
addresses. Instead, log a debug-level message in
addr_policy_append_reject_addr.

This simplifies policies_parse_exit_policy_internal and prepares for
reporting these addresses over the control port in #17183.

Merge remote-tracking branch 'teor/bug17632-no-ipv4-no-localhost-squashed'

Merge remote-tracking branch 'teor/bug17638-ipv6-ersatz-socketpair'

Merge remote-tracking branch 'public/decouple_conn_attach_2'

Fixup #17638: ignore EINVAL from FreeBSD jails without ::1

In my testing, an IPv6-only FreeBSD jail without ::1 returned EINVAL
from tor_ersatz_socketpair. Let's not fail the unit test because of
this - it would only ever use tor_socketpair() anyway.

Make tor_ersatz_socketpair work on IPv6-only systems

(But it won't work on some systems without IPv4/IPv6 localhost
(some BSD jails) by design, to avoid creating sockets on routable
IP addresses. However, those systems likely have the AF_UNIX socketpair,
which tor prefers.)

Fixes bug #17638; bugfix on a very early tor version,
earlier than 22dba27d8dd5 (23 Nov 2004) / svn:r2943.

Patch by "teor".

Merge remote-tracking branch 'teor/bug17632-no-ipv4-no-localhost'

Update comments in get_interface_addresses_ioctl

Comment-only change noting platforms that can return IPv6
addresses from SIOCGIFCONF (or SIOCGLIFCONF).

Fix unit tests on systems without IPv4 or localhost addresses

Make unit tests pass on IPv6-only systems, and systems without
localhost addresses (like some FreeBSD jails).

Fixes:
* get_if_addrs_ifaddrs: systems without localhost
* get_if_addrs_ioctl: only works on IPv4 systems
* socket: check IPv4 and IPv6, skip on EPROTONOSUPPORT
* socketpair_ersatz: uses IPv4, skip on EPROTONOSUPPORT

Fixes bug #17632; bugfix on unit tests in 0.2.7.3-rc.
c464a367728d was a partial fix for this issue in #17255;
it was released in unit tests in 0.2.7.4-rc.

Patch by "teor".

Really Really Fixup 86eba14ac549: Windows support, error return values

Really Fixup 86eba14ac549: error return values are negative

Fixup 86eba14ac549: add errno.h for EPROTONOSUPPORT