Merge branch 'bug13295_v2_025' into maint-0.2.5

Don't use the getaddrinfo sandbox cache from tor-resolve

Fixes bug 13295; bugfix on 0.2.5.3-alpha.

The alternative here is to call crypto_global_init() from tor-resolve,
but let's avoid linking openssl into tor-resolve for as long as we
can.

Merge branch 'maint-0.2.4' into maint-0.2.5

Conflicts:
src/or/config.c

Merge branch 'maint-0.2.3' into maint-0.2.4

gabelmoo's IPv4 address changed

Merge remote-tracking branch 'origin/maint-0.2.4' into maint-0.2.5

clients now send correct address for rendezvous point

Clients now send the correct address for their chosen rendezvous point
when trying to access a hidden service. They used to send the wrong
address, which would still work some of the time because they also
sent the identity digest of the rendezvous point, and if the hidden
service happened to try connecting to the rendezvous point from a relay
that already had a connection open to it, the relay would reuse that
connection. Now connections to hidden services should be more robust
and faster. Also, this bug meant that clients were leaking to the hidden
service whether they were on a little-endian (common) or big-endian (rare)
system, which for some users might have reduced their anonymity.

Fixes bug 13151; bugfix on 0.2.1.5-alpha.

Bump maint-0.2.5 to 0.2.5.7-rc-dev

Reduce log severity for unused ClientTransportPlugin lines

Tor Browser includes several ClientTransportPlugin lines in its
torrc-defaults file, leading every Tor Browser user who looks at her
logs to see these notices and wonder if they're dangerous.

Resolves bug 13124; bugfix on 0.2.5.3-alpha.

In routerlist_assert_ok(), check r2 before taking &(r2->cache_info)

Technically, we're not allowed to take the address of a member can't
exist relative to the null pointer.  That makes me wonder how any sane
compliant system implements the offsetof macro, but let's let sleeping
balrogs lie.

Fixes 13096; patch on 0.1.1.9-alpha; patch from "teor", who was using
clang -fsanitize=undefined-trap -fsanitize-undefined-trap-on-error -ftrapv

Merge remote-tracking branch 'public/bug12908_025' into maint-0.2.5

Merge remote-tracking branch 'andrea/bug12160_025' into maint-0.2.5

Merge remote-tracking branch 'public/bug12700_024' into maint-0.2.5

Clean up the MVSC nmake files so they work again.

Fixes bug 13081; bugfix on 0.2.5.1-alpha. Patch from "NewEraCracker."

Add more escaped() calls in directory.c

Patch from teor to fix 13071.

Expand the event_mask field in controller conns to 64 bits

Back in 078d6bcd, we added an event number 0x20, but we didn't make
the event_mask field big enough to compensate.

Patch by "teor". Fixes 13085; bugfix on 0.2.5.1-alpha.

Add cscope generated files to .gitignore.

Closes #13092; patch from dgoulet.

Correctly update channel local mark when address of incoming connection changes after handshake; fixes bug #12160

Documenting reject6 and accept6 ExitPolicy entries in manpage.

Fix a number of clang analyzer false-positives

Most of these are in somewhat non-obvious code where it is probably
a good idea to initialize variables and add extra assertions anyway.

Closes 13036.  Patches from "teor".

Adding changes file.

Merge remote-tracking branch 'arma/bug12996b' into maint-0.2.5

Downgrade "Unexpected onionskin length after decryption" warning

It's now a protocol-warn, since there's nothing relay operators can
do about a client that sends them a malformed create cell.

Resolves bug 12996; bugfix on 0.0.6rc1.

Improve "Tried to establish rendezvous on non-OR or non-edge circuit"

Instead of putting it all in one warning message, log what exactly
was wrong with the circuit.

Resolves ticket 12997.

Resume expanding abbreviations for command-line options

The fix for bug 4647 accidentally removed our hack from bug 586 that
rewrote HashedControlPassword to __HashedControlSessionPassword when
it appears on the commandline (which allowed the user to set her own
HashedControlPassword in the torrc file while the controller generates
a fresh session password for each run).

Fixes bug 12948; bugfix on 0.2.5.1-alpha.

Warn if Tor is a relay and a HS

Closes 12908; see #8742

Fix relay_command_to_string(); solve 12700.

Two bugs here:
  1) We didn't add EXTEND2/EXTENDED2 to relay_command_to_string().

  2) relay_command_to_string() didn't log the value of unrecognized
     commands.

Both fixed here.

Fix windows warning introduced by 0808ed83f9cf312abe229

This will fix the warning
   "/src/or/config.c:6854:48: error: unused parameter 'group_readable'"
that I introduced while fixing 12864.

Bug not in any released version of Tor.

Merge remote-tracking branch 'asn/nickm-bug12864_025' into maint-0.2.5

Some documentation fixes for #12864.

Remove stale printfs from buffer/zlib_fin_at_chunk_end test

These got committed by mistake.

Documentation fix on arguments to CookieAuthFileGroupReadable

We don't actually allow a group name, but the documentation implied
that we did.

Restore functionality for CookieAuthFileGroupReadable.

When we merged the cookieauthfile creation logic in 33c3e60a37, we
accidentally took out this feature.  Fixes bug 12864, bugfix on
0.2.5.1-alpha.

Also adds an ExtORPortCookieAuthFileGroupReadable, since there's no
reason not to.

Merge remote-tracking branch 'public/bug12848_024' into maint-0.2.5

Conflicts:
src/or/circuitbuild.c

Apply an MSVC compilation fix from Gisle Vanem

This fixes a double-define introduced in 28538069b2f1909a7600ec6d

Merge remote-tracking branch 'origin/maint-0.2.4' into maint-0.2.5

Merge remote-tracking branch 'karsten/geoip6-aug2014' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Update geoip6 to the August 7 2014 database.

Update geoip to the August 7 2014 database.

Fix another case of 12848 in circuit_handle_first_hop

I looked for other places where we set circ->n_chan early, and found
one in circuit_handle_first_hop() right before it calls
circuit_send_next_onion_skin(). If onion_skin_create() fails there,
then n_chan will still be set when circuit_send_next_onion_skin()
returns. We should probably fix that too.

Add an extra check in channel_send_destroy for circID==0

Prevents other cases of 12848.

Don't send DESTROY to circID 0 when circuit_deliver_create_cell fails

Cypherpunks found this and wrote this patch.

Fix for 12848; fix on (I think) d58d4c0d, which went into 0.0.8pre1

Fix some URLs in the README

patch from mttp; fixes 12830

fix extra words in man page

Build circuits more readily when DisableNetwork goes to 0

When Tor starts with DisabledNetwork set, it would correctly
conclude that it shouldn't try making circuits, but it would
mistakenly cache this conclusion and continue believing it even
when DisableNetwork is set to 0. Fixes the bug introduced by the
fix for bug 11200; bugfix on 0.2.5.4-alpha.

fix three typos in comments

Merge remote-tracking branch 'intrigeri/bug12731-systemd-no-run-as-daemon' into maint-0.2.5

Conflicts:
contrib/dist/tor.service.in

Merge remote-tracking branch 'intrigeri/bug12730-systemd-verify-config' into maint-0.2.5

Verify configuration file via ExecStartPre in the systemd unit file (#12730).

Explicitly disable RunAsDaemon in the systemd unit file (#12731).

Our current systemd unit uses "Type = simple", so systemd does not expect tor to
fork. If the user has "RunAsDaemon 1" in their torrc, then things won't work as
expected. This is e.g. the case on Debian (and derivatives), since there we pass
"--defaults-torrc /usr/share/tor/tor-service-defaults-torrc" (that contains
"RunAsDaemon 1") by default.

The only solution I could find is to explicitly pass "--RunAsDaemon 0" when
starting tor from the systemd unit file, which this commit does.

bump to 0.2.5.6-alpha

Merge branch 'maint-0.2.4' into maint-0.2.5

bump to 0.2.4.23

Merge branch 'maint-0.2.4' into maint-0.2.5

Warn and drop the circuit if we receive an inbound 'relay early' cell

Those used to be normal to receive on hidden service circuits due to bug
1038, but the buggy Tor versions are long gone from the network so we
can afford to resume watching for them. Resolves the rest of bug 1038;
bugfix on 0.2.1.19.

add a changes file for bug 12718

Confusing log message when circuit can't be extended

get rid of already-merged prop221 changes file

Merge branch 'maint-0.2.4' into maint-0.2.5

Conflicts:
src/or/or.h

circuit_build_failed: distinguish "first hop chan failed", "CREATE failed"

Roger spotted this on tor-dev in his comments on proposal 221.

(Actually, detect DESTROY vs everything else, since arma likes
network timeout indicating failure but not overload indicating failure.)

Implement proposal 221: Stop sending CREATE_FAST

This makes FastFirstHopPK an AUTOBOOL; makes the default "auto"; and
makes the behavior of "auto" be "look at the consensus."

get rid of already-merged bug12227 changes file

Merge branch 'maint-0.2.4' into maint-0.2.5

Avoid illegal read off end of an array in prune_v2_cipher_list

This function is supposed to construct a list of all the ciphers in
the "v2 link protocol cipher list" that are supported by Tor's
openssl.  It does this by invoking ssl23_get_cipher_by_char on each
two-byte ciphersuite ID to see which ones give a match.  But when
ssl23_get_cipher_by_char cannot find a match for a two-byte SSL3/TLS
ciphersuite ID, it checks to see whether it has a match for a
three-byte SSL2 ciphersuite ID.  This was causing a read off the end
of the 'cipherid' array.

This was probably harmless in practice, but we shouldn't be having
any uninitialized reads.

(Using ssl23_get_cipher_by_char in this way is a kludge, but then
again the entire existence of the v2 link protocol is kind of a
kludge.  Once Tor 0.2.2 clients are all gone, we can drop this code
entirely.)

Found by starlight. Fix on 0.2.4.8-alpha. Fixes bug 12227.

fix typo that crept in to 0.2.4.4-alpha

Raise guard threshold to top 25% or 2000 kilounits

Authorities now assign the Guard flag to the fastest 25% of the
network (it used to be the fastest 50%). Also raise the consensus
weight that guarantees the Guard flag from 250 to 2000. For the
current network, this results in about 1100 guards, down from 2500.
This step paves the way for moving the number of entry guards
down to 1 (proposal 236) while still providing reasonable expected
performance for most users.

Implements ticket 12690.

Merge branch 'maint-0.2.4' into maint-0.2.5

update manpage for numentryguards / numdirectoryguards

add a NumDirectoryGuards consensus param too

Add and use a new NumEntryGuards consensus parameter.

When specified, it overrides our default of 3 entry guards.

(By default, it overrides the number of directory guards too.)

Implements ticket 12688.

Merge remote-tracking branch 'origin/maint-0.2.4' into maint-0.2.5

Merge branch 'curve25519-donna32' into maint-0.2.4

Put the bug number and correct credits in the changes file for the new curve25519-donna32

Merge remote-tracking branch 'origin/maint-0.2.4' into maint-0.2.5

Merge remote-tracking branch 'karsten/geoip6-jul2014' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

update changes entry with info for 11578 patch

Fix warning on building with bufferevents

Fixes #11578

Use safe_str in channel_dumpstats: improve 12184 diagnostic

Update geoip6 to the July 10 2014 database.

Update geoip to the July 10 2014 database.

Merge remote-tracking branch 'public/bug12602_024' into maint-0.2.5

Fix compilation with no-compression OpenSSL builds and forks

Found because LibreSSL has OPENSSL_NO_COMP always-on, but this
conflicts with the way that _we_ turn off compression.  Patch from
dhill, who attributes it to "OpenBSD".  Fixes bug 12602; bugfix on
0.2.1.1-alpha, which introduced this turn-compression-off code.

changes file for 12474, 12438.

src/or/connection.c: expose bucket_millis_empty for bufferevents test

Currently tor fails to build its test when enabled with bufferevents
because an #ifndef USE_BUFFEREVENTS hides bucket_millis_empty() and
friends.  This is fine if we don't run tests, but if we do, we need
these functions in src/or/libtor-testing.a when linking src/test/test.

This patch moves the functions outside the #ifndef and exposes them.

See downstream bug:

https://bugs.gentoo.org/show_bug.cgi?id=510124

configure.ac: fix build with --enable-bufferevents

When building with bufferevents enabled, configure.ac throws an
error if "$ac_cv_header_event2_bufferevent_ssl_h" is not set to
"yes".  However, nowhere was AC_CHECK_HEADERS(event2/bufferevent_ssl.h)
done.  This commit adds the check.

diagnostic for 12184: Add a call to channel_dump_statistics

Add another 8387 diagnostic

When we run into bug 8387 (if we run into it again), report when we
last called circuit_expire_old_circuits_clientside().  This will let
us know -- if my fix for 8387 doesn't work -- whether my diagnosis
was at least correct.

Suggested by Andrea.

Merge remote-tracking branch 'public/bug8387_024' into maint-0.2.5

Small tweaks to make curve25519-donna32 compile with our warnings

Update to latest curve25519-donna32

Fix a bug where streams would linger forever when we had no dirinfo

fixes bug 8387; fix on 0.1.1.11-alpha (code), or on 0.2.4.10-alpha (behavior).

Remove executable bit from control.c, router.c

Fix for 12512.

Bump version to Tor 0.2.5.5-alpha-dev

Give 0.2.5.5-alpha a release date

Reflow 0.2.5.5-alpha changelog

changelog edits from wfn and yawning

Re-wrap the 0.2.5.5-alpha changelog

Edit 0.2.5.5-alpha changelog for terseness and grammar.