Merge branch 'maint-0.3.5' into maint-0.4.1

Fix use of non-portable == in configure.ac.

Fixes bug 34233.

(This has bug has been backported to 0.3.5, but only released in
0.4.3, so it only needs a changes file there.)

Merge branch 'maint-0.3.5' into maint-0.4.1

Travis: temporarily fix stem version to d1174a83c2dcb7b8

This is a workaround for https://github.com/torproject/stem/issues/63

btrack_orconn_cevent.c: Add a missing "break;"

Merge branch 'maint-0.3.5' into maint-0.4.1

changes file for bug 34078.

Use __attribute__((fallthrough)) rather than magic GCC comments.

GCC added an implicit-fallthrough warning a while back, where it
would complain if you had a nontrivial "case:" block that didn't end
with break, return, or something like that.  Clang recently added
the same thing.

GCC, however, would let you annotate a fall-through as intended by
any of various magic "/* fall through */" comments.  Clang, however,
only seems to like "__attribute__((fallthrough))".  Fortunately, GCC
accepts that too.

A previous commit in this branch defined a FALLTHROUGH macro to do
the right thing if GNUC is defined; here we replace all of our "fall
through" comments with uses of that macro.

This is an automated commit, made with the following perl one-liner:

  #!/usr/bin/perl -i -p
  s#/\* *falls? ?thr.*?\*/#FALLTHROUGH;#i;

(In order to avoid conflicts, I'm applying this script separately to
each maint branch. This is the 0.4.1 version.)

Merge branch 'maint-0.3.5' into maint-0.4.1

This is an "ours" merge to avoid taking the 0.3.5 fix for 34078.

Use __attribute__((fallthrough)) rather than magic GCC comments.

GCC added an implicit-fallthrough warning a while back, where it
would complain if you had a nontrivial "case:" block that didn't end
with break, return, or something like that.  Clang recently added
the same thing.

GCC, however, would let you annotate a fall-through as intended by
any of various magic "/* fall through */" comments.  Clang, however,
only seems to like "__attribute__((fallthrough))".  Fortunately, GCC
accepts that too.

A previous commit in this branch defined a FALLTHROUGH macro to do
the right thing if GNUC is defined; here we replace all of our "fall
through" comments with uses of that macro.

This is an automated commit, made with the following perl one-liner:

  #!/usr/bin/perl -i -p
  s#/\* *falls? ?thr.*?\*/#FALLTHROUGH;#i;

Merge branch 'maint-0.3.5' into maint-0.4.1

Merge branch 'bug34078_prelim_041' into maint-0.4.1

Merge branch 'bug34078_prelim_035' into maint-0.3.5

Merge branch 'bug34078_prelim_035' into bug34078_prelim_041

Remove an incorrect "Fall through" comment.

address.c: add a single (harmless) missing break;

include compat_compiler for ed25519_donna

Replace some "fall through" comments not at the end of a case.

Replace a "fall through" comment that was outside a switch.

Add a fallthrough macro.

This macro defers to __attribute__((fallthrough)) on GCC (and
clang).  Previously we had been using GCC's magic /* fallthrough */
comments, but clang very sensibly doesn't accept those.

Since not all compiler recognize it, we only define it when our
configure script detects that it works.

Part of a fix for 34078.

Merge branch 'bug34077_041' into maint-0.4.1

Fix a GCC 10.0.1 compilation warning.

Fixes 34077 for 0.4.1; bugfix on 0.4.0.3-alpha. (Specifically, GCC
first gives this warning for 9eeff921ae7b786d960ea4286d5bba56)

Merge branch 'maint-0.3.5' into maint-0.4.1

Merge remote-tracking branch 'tor-github/pr/1784' into maint-0.3.5

Merge branch 'bug33673_035' into bug33673_041

Merge duplicate DLL copies from maint-0.4.1 with bug33673_035.

Appveyor: Copy required DLLs to test and app

Copy required DLLs to test and app, before running tor's tests.

This ensures that tor.exe and test*.exe use the correct version of each
DLL. This fix is not required, but we hope it will avoid DLL search
issues in future.

Closes bug 33673; bugfix on 0.3.4.2-alpha.

Merge branch 'ticket33643_skip_035' into ticket33643_skip_041

Appveyor: disable crypto/openssl_version

Add a TOR_SKIP_TESTCASES environment variable for suppressing tests.

For example, "TOR_SKIP_TESTCASES=crypto/.. ./src/test/test" will run
the tests and suppress all the "crypto/" tests.  You could get the
same effect by running "./src/test/test :crypto/..", but that can be
harder to arrange from CI.

Part of a fix/workaround for 33643.

Merge branch 'maint-0.3.5' into maint-0.4.1

"ours" to avoid version bump.

Bump version to 0.4.1.9-dev

Bump version to 0.3.5.10-dev

Merge branch 'maint-0.3.5' into maint-0.4.1

Port rsa_private_key_too_long() to work on OpenSSL 1.1.0.

Merge branch 'maint-0.3.5' into maint-0.4.1

Merge branch 'trove_2020_002_041' into maint-0.4.1

Merge branch 'trove_2020_002_035' into maint-0.3.5

Merge branch 'trove_2020_004_041_v2' into maint-0.4.1

Merge branch 'maint-0.3.5' into maint-0.4.1

Fix TROVE-2020-003.

Given that ed25519 public key validity checks are usually not needed
and (so far) they are only necessary for onion addesses in the Tor
protocol, we decided to fix this specific bug instance without
modifying the rest of the codebase (see below for other fix
approaches).

In our minimal fix we check that the pubkey in
hs_service_add_ephemeral() is valid and error out otherwise.

Trivial bugfixes found during TROVE investigation.

Merge branch 'trove_2020_002_035' into trove_2020_002_041

Use >= consistently with max_bits.

Add off-by-one checks for key length.

Extract key length check into a new function, and check more fields.

In the openssl that I have, it should be safe to only check the size
of n.  But if I'm wrong, or if other openssls work differently, we
should check whether any of the fields are too large.

Issue spotted by Teor.

circpad_setup_machine_on_circ(): exit early on error.

This function does a nonfatal assertion to make sure that a machine
is not registered twice, but Tobias Pulls found a case where it
happens.  Instead, make the function exit early so that it doesn't
cause a remotely triggered memory leak.

Fixes bug 33619; bugfix on 0.4.0.1-alpha.  This is also tracked as
TROVE-2020-004.

Merge branch 'maint-0.3.5' into maint-0.4.1

Travis: Produce detailed chutney diagnostics

When a Travis chutney job fails, use chutney's new "diagnostics.sh" tool
to produce detailed diagnostic output.

Closes ticket 32792.

Merge branch 'trove_2020_002_035' into trove_2020_002_041

Fix memory leak in crypto_pk_asn1_decode_private.

(Deep, deep thanks to Taylor for reminding me to test this!)

Add a test for crypto_pk_asn1_decode_private maxbits.

Revise TROVE-2020-002 fix to work on older OpenSSL versions.

Although OpenSSL before 1.1.1 is no longer supported, it's possible
that somebody is still using it with 0.3.5, so we probably shouldn't
break it with this fix.

Merge branch 'maint-0.3.5' into maint-0.4.1

"ours" to avoid version bump.

Bump to 0.3.5.10

Bump to 0.4.1.9

Merge branch 'maint-0.3.5' into maint-0.4.1

Merge remote-tracking branch 'tor-github/pr/1693/head' into maint-0.3.5

dos: Pass transport name on new client connection

For a bridge configured with a pluggable transport, the transport name is
used, with the IP address, for the GeoIP client cache entry.

However, the DoS subsystem was not aware of it and always passing NULL when
doing a lookup into the GeoIP cache.

This resulted in bridges with a PT are never able to apply DoS defenses for
newly created connections.

Fixes #33491

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'bug33195_035' into bug33195_041

Conflicts:
* Keep TOR_TEST_RNG_SEED from maint-0.4.1
* Keep the ordering from bug33195_035

Travis: Sort jobs in order of speed

Putting the slowest jobs first takes full advantage of Travis
concurrency.

Closes 33194.

Travis: Remove a redundant distcheck job

Part of 33194.

Travis: Require the macOS IPv6 chutney job

The job was previously set to fast_finish / allow_failure, to
speed up the build.

Closes ticket 33195.

Merge branch 'maint-0.3.5' into maint-0.4.1

Lowercase the BridgeDistribution value from torrc in descriptors.

This patch ensures that we always lowercase the BridgeDistribution from
torrc in descriptors before submitting it.

See: https://bugs.torproject.org/32753

Merge remote-tracking branch 'tor-github/pr/1689' into maint-0.3.5

Remove a redundant practracker exception line in maint-0.4.1

This will our "git push" hook not complain about pushing from
maint-0.4.1.

Merge branch 'maint-0.4.0' into maint-0.4.1

Merge branch 'maint-0.3.5' into maint-0.4.0

Merge branch 'bug33212_035' into maint-0.3.5

Fix a Rust compilation warning; resolve bug 33212.

Merge branch 'trove_2020_002_035' into trove_2020_002_041

Resolved Conflicts:
src/feature/dirparse/parsecommon.c

changes file for 33119 aka TROVE-2020-002

When parsing tokens, reject early on spurious keys.

When parsing, reject >1024-bit RSA private keys sooner.

Private-key validation is fairly expensive for long keys in openssl,
so we need to avoid it sooner.

Bump to 0.4.1.8-dev

bump to 0.4.1.8

Merge branch 'maint-0.4.0' into maint-0.4.1

Merge branch 'maint-0.3.5' into maint-0.4.0

Merge remote-tracking branch 'tor-github/pr/1634' into maint-0.4.1

Merge remote-tracking branch 'tor-github/pr/1614' into maint-0.3.5

Change BUG() messages in buf_flush_to_tls() to IF_BUG_ONCE()

We introduced these BUG() checks in b0ddaac07428a06 to prevent a
recurrence of bug 23690.  But there's a report of the BUG() message
getting triggered and filling up the disk.  Let's change it to
IF_BUG_ONCE().

Fixes bug 33093; bugfix on 0.3.2.2-alpha.

Travis: Stop allowing stem test failures

Stop allowing failures on the Travis CI stem tests job. It looks like
all the stem hangs we were seeing are now fixed, but let's make sure we
see them if they happen again.

Closes ticket 33075.

Merge branch 'maint-0.4.0' into maint-0.4.1

Merge branch 'maint-0.3.5' into maint-0.4.0

Merge remote-tracking branch 'tor-github/pr/1513' into maint-0.3.5

Initialize publish/subscribe code when running as an NT service.

Fixes bug 32778; bugfix on 0.4.1.1-alpha.

update changes file to pass "make check-changes"

Fix sandbox crash during reload of logging configuration

Allow calls to dup() which was introduced in commit a22fbab986.

From a security perspective, I don't think this should impact the
security of the sandbox significantly. As far as I can tell, there
is nothing an adversary can do with a duplicated FD that can't be
done with the original.

Merge branch 'maint-0.4.0' into maint-0.4.1

Correct how we use libseccomp

This fixes a startup crash with libseccomp v2.4.0 if Sandbox is
set to 1.

Merge branch 'bug32240_32242_035' into bug32240_32242_040

Merge:
* libzstd-dev from ticket32242_035
* shellcheck from maint-0.4.0

Merge remote-tracking branch 'tor-github/pr/1459' into bug32240_32242_035

Merge branch 'bug32240_035' into bug32240_040

Merge branch 'bug32240_029' into bug32240_035

Merge
* Chutney Trusty deletion in bug32240_029
* NSS addition in maint-0.3.5

changes: file for 32240

Travis: Run Chutney jobs in Ubuntu Bionic images

Closes 32240.

Travis: Turn off Tor's Sandbox in Chutney jobs

We need to set "Sandbox 0", until we fix sandbox errors that are
triggered by Ubuntu Xenial and Bionic. See 32722.

Part of 32240.

Merge branch 'maint-0.4.0' into maint-0.4.1

Merge branch 'maint-0.3.5' into maint-0.4.0

Merge branch 'maint-0.2.9' into maint-0.3.5