copy 0.4.3.4-rc changelog forward.

Merge branch 'maint-0.4.3'

Merge branch 'bug33545_043_squashed' into maint-0.4.3

hs-v3: Change all-zeroes hard-assert to a BUG-and-err.

And also disallow all-zeroes keys from the filesystem; add a test for it too.

hs-v3: Don't allow registration of an all-zeroes client auth key.

The client auth protocol allows attacker-controlled x25519 private keys being
passed around, which allows an attacker to potentially trigger the all-zeroes
assert for client_auth_sk in hs_descriptor.c:decrypt_descriptor_cookie().

We fixed that by making sure that an all-zeroes client auth key will not be
used.

There are no guidelines for validating x25519 private keys, and the assert was
there as a sanity check for code flow issues (we don't want to enter that
function with an unitialized key if client auth is being used). To avoid such
crashes in the future, we also changed the assert to a BUG-and-err.

Merge remote-tracking branch 'tor-github/pr/1801/head'

Merge branch 'maint-0.4.3'

"ours" to avoid version bump

bump to 0.4.3.4-rc

Merge branch 'maint-0.4.3'

Add fsync to list of syscalls permitted by sandbox

(Our fix for 33087 requires this, I believe.)

Merge remote-tracking branch 'tor-github/pr/1723/head' into maint-0.4.3

Make sure that we free 'addr' at the end of a pair of addr tests

Fixes a couple of Coverity warnings about possible memory leaks.
Bug not in any released Tor.

hs-v3: Several fixes after #32542 review

asn: Accidentally left this commit out when merging #32542, so cherry-picking
it now.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.3'

"ours" merge, because we only want to remove check-best-practices
from check-local in 0.4.2 and 0.4.3.

Merge branch 'maint-0.4.2' into maint-0.4.3

Remove check-best-practices from check-local in maint-0.4.3.
(The check-local jobs are all on separate lines in 0.4.3.)

remove practracker from check-local (0.4.2 and 0.4.3 only)

practracker shouldn't be running in release or maint branches.

Merge branch 'maint-0.4.3'

"ours" merge, to avoid taking PR 1854, which reverts
"Prefer IPv6 by default"  for 0.4.3 only.

Merge branch 'pr1854_squashed' into maint-0.4.3

Squashed PR 1854, and fixed a minor typo (IPv4 -> IPv6).

client: Revert setting PreferIPv6 on by default

This change broke torsocks that by default is expecting an IPv4 for hostname
resolution because it can't ask tor for a specific IP version with the SOCKS5
extension.

PreferIPv6 made it that sometimes the IPv6 could be returned to torsocks that
was expecting an IPv4.

Torsocks is probably a very unique case because the runtime flow is that it
hijacks DNS resolution (ex: getaddrinfo()), gets an IP and then sends it back
for the connect() to happen.

The libc has DNS resolution functions that allows the caller to request a
specific INET family but torsocks can't tell tor to resolve the hostname only
to an IPv4 or IPv6 and thus by default fallsback to IPv4.

Reverting this change into 0.4.3.x series but we'll keep it in the 0.4.4.x
series in the hope that we add this SOCKS5 extension to tor for DNS resolution
and then change torsocks to use that.

Fixes #33804

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.3'

Merge branch 'maint-0.4.2' into maint-0.4.3

Merge branch 'maint-0.4.1' into maint-0.4.2

Merge branch 'maint-0.3.5' into maint-0.4.1

Merge remote-tracking branch 'tor-github/pr/1784' into maint-0.3.5

relay: Run practracker --regen

Lock in some file and function size improvements.

Accept some small file size and dependency increases.

Part of 33633.

relay: Run "make autostyle"

But only take the changes from the relay module.

Part of 33633.

test/circuitbuild: Add a test for onionskin_answer()

Part of 33633.

changes: file for 33633

relay/circuitbuild: Refactor circuit_extend()

Make the "else" case explicit at the end of the function.

Part of 33633.

test/circuitbuild: Add tests for circuit_extend()

Part of 33633.

core/or: Make some functions mockable

Preparation for testing circuit_extend().

Part of 33633.

channel: Rewrite the channel_get_for_extend() comments

Explain what the function does now.
Fix some typos.

Part of 33633.

test/circuitbuild: Add tests for open_connection_for_extend

Part of 33633.

circuitbuild: Make some functions mockable

Part of 33633.

test/circuitbuild: Add tests for extend_lspec_valid

Part of 33633.

test/circuitbuild: Make some tests fork

Since we're testing IF_BUG_ONCE(), we need to fork.

Part of 33633.

test/circuitbuild: Tests for adding ed25519 keys

Add tests for circuit_extend_add_ed25519_helper().

Part of 33633.

nodelist: Make some functions mockable

Part of 33633.

test/circuitbuild: Add a test for extend_state_valid

Part of 33633.

test/circuitbuid: Fix new_route_len_unhandled_exit

Make test_new_route_len_unhandled_exit more robust, by always tearing
down logs. (Rather than just tearing them down on success.)

test/circuitbuild: Refactor test case array

Avoid repeating test names.

Part of 33633.

relay: End circuitbuild logs with "."

Consistent logs make testing easier.

Part of 33633.

relay: Check for NULL arguments in circuitbuild

Part of 33633.

relay: Make circuitbuild functions STATIC

Allow the circuitbuild_relay functions to be accessed by the unit tests.

Part of 33633.

relay: Remove a redundant function return value

Part of 33633.

relay: Split out opening a connection for an extend

Part of 33633.

relay: Refactor some long lines from circuit_extend()

Part of 33633.

relay: Split link specifier checks from circuit_extend()

Part of 33633.

relay: Split state checks out of circuit_extend()

Part of 33633.

relay: Improve the comments on onionskin_answer()

Part of 33633.

relay: Protocol warn when a client gets an extend

circuit_extend() may be called when a client receives an extend cell,
even if the relay module is disabled.

Log a protocol warning when the relay module is disabled.

Part of 33633.

fix typos from #32542

Merge branch 'tor-github/pr/1857'

changes: Add changes file for #32542

Signed-off-by: David Goulet <dgoulet@torproject.org>

test: Unit test for missing ExtendedErrors

Signed-off-by: David Goulet <dgoulet@torproject.org>

man: Update tor.1 ExtendedErrors section with latest

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.3'

Correct 'was not internal' to 'was internal' in test_external_ip()

Merge branch 'tor-github/pr/1855'

hs-v3: Report SOCKS ExtendedErrors when all intro timed out

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Report rendezvous circuit failure SOCKS ExtendedErrors

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Report introduction failure SOCKS ExtendedErrors

Signed-off-by: David Goulet <dgoulet@torproject.org>

address: Simplify tor_addr_is_valid()

And rewrite the function comment.

Part of 33679.

Added tests for tor_addr_is_null/valid()

Added tests for tor_addr_is_valid(),
and added tests for tor_addr_is_null(),
which is not modfied.
Ticket 33679

hs-v3: Fix typo in log info when PublishHidServDescriptors is set to 0

Fixes #33779

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'pr1838_squashed'

Try rewriting normalize_srcdir to normalize harder.

Make check_subsystem_order work in distcheck builds.

Make check_subsystem_order work in out-of-tree builds.

add changes file for 31634

Add a test script to check subsystem order as part of make check.

channel: Fix a comment typo

channel: Remove a newline at the start of the file

Merge branch 'maint-0.4.3'

doc: Fix another man page typo

The default value of the option is "auto", not "default".

Merge branch 'maint-0.4.3'

doc: Fix a typo in the man page

"proceeding" means starting an action.
"preceding" means the thing before this thing.

In this context, it's a bit ambiguous.

core/or: Fix a comment typo in onion.h

Comment-only change.

Merge branch 'maint-0.4.3'

changes: file for ticket 33782

Avoid conflicts between the fake sockets in tor's unit tests, and real
file descriptors. Resolves issues running unit tests with GitHub
Actions, where the process that embeds or launches the tests has
already opened a large number of file descriptors.

Fixes bug 33782; bugfix on 0.2.8.1-alpha.

Found and fixed by Putta Khunchalee.

doc: Also stop running practracker in hooks

When making a new maint branch, stop running practracker in hooks.

doc: Minor restructure for Release Lifecycle

* make end and beginning of life into second-level sections
* write an intro for beginning
* tweak intro for end

Re-apply: doc: Replace "underline" with "## Section name".

Re-applying changes after merge.

Merge remote-tracking branch 'tor-github/pr/1739'

Ignored conflicting style changes: they will be re-applied in
the next commit.

Change starting file descriptor for tests.

scripts: Ignore editor temporary files

Ignore editor temporary files when autostyling in:
* rectify_include_paths.py
* rename_c_identifier.py

Obviously correct changes to already-reviewed code.

Merge branch 'maint-0.4.3'

doc: Rewrite the approved-routers man page entry

Obviously correct documentation changes.

Merge branch 'tor-github/pr/1851'

Merge branch 'maint-0.4.3'

configure: Fix enabled module variable expansion

Fixes #33646

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v3: Move to log notice the registration of an OB instance

This is to allow a visual feedback in the logs for operators setting up Onion
Balance so they can confirm they properly configured the instances.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-github/pr/1844'

Move LOG_PROTOCOL_WARN to app/config.h

LOG_PROTOCOL_WARN was in core/or.h, but the function it depends on is in
app/config.h. Put them in the same header, to reduce dependencies.

Part of 33633.

hs-v3: Move ob_subcreds to hs_service_state_t.

It's more natural there since it's runtime state.

hs-v3: Don't crash after SIGHUP in Onionbalance backend mode.

The ob_subcreds array was not copied after SIGHUP, and that left the
post-SIGHUP service with a NULL ob_subcreds pointer (until the next descriptor
gets build where we regenerate ob_subcreds in hs_ob_refresh_keys()).

Fixes bug #33762; not in any released tor version.

Merge branch 'maint-0.4.3'

hs-v3: Relax severity of a log message when decoding descriptors.

Make it LOG_PROTOCOL_WARN and also add the expiration timestamp in there to
ease debugging in the future.

changes: Add file for ticket 33014

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-github/pr/1775'