Merge branch 'maint-0.3.5' into release-0.3.5

release: ChangeLog and ReleaseNotes for 0.3.5.18

Signed-off-by: David Goulet <dgoulet@torproject.org>

version: Bump version to 0.3.5.18

Signed-off-by: David Goulet <dgoulet@torproject.org>

fallbackdir: Update list generated on January 24, 2022

Signed-off-by: David Goulet <dgoulet@torproject.org>

geoip: Update to match ipfire location db, 2022/01/24.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

Merge branch 'tor-gitlab/mr/511' into maint-0.3.5

Merge branch 'maint-0.3.5' into release-0.3.5

Merge branch 'tor-gitlab/mr/510' into maint-0.3.5

Merge branch 'maint-0.3.5' into release-0.3.5

Update new relay blogpost URL

This removes the '/blog/' URL component which relies on a
redirection since the blog has been migrated to Lektor

main: Update a dead URL in a log notice

Change https://www.torproject.org/download/download#warning to
https://support.torproject.org/faq/staying-anonymous/

Closes #40544

Signed-off-by: David Goulet <dgoulet@torproject.org>

relay: Don't advertise HSv2 protocol version

We removed HSIntro=3 and HSDir=1 that are v2 specific. Since 0.3.5.17,
we do not support introducing or being a directory for onion service v2.

Closes #40509

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

Merge remote-tracking branch 'tor-gitlab/mr/487' into maint-0.3.5

Merge remote-tracking branch 'tor-gitlab/mr/486' into maint-0.3.5

Give an error message if LibreSSL's TLSv1.3 APIs aren't what we need

From LibreSSL versions 3.2.1 through 3.4.0, our configure script
would conclude that TLSv1.3 as supported, but it actually wasn't.
This led to annoying breakage like #40128 and #40445.

Now we give an error message if we try to build with one of those
versions.

Closes #40511.

Reverse the direction of the test for openssl 3.0.0

Previously the logic was reversed, and always gave the wrong answer.
This has no other effect than to change whether we suppress
deprecated API warnings.

Fixes #40429; bugfix on 0.3.5.13.

Merge branch 'maint-0.3.5' into release-0.3.5

Light edit to protover warnings.

protover: Add a note on why LinkAuth is not recommended or required

Signed-off-by: David Goulet <dgoulet@torproject.org>

protover: Move all hardcoded lists in one place

This also moves the warnings and add some theatrical effect around the
code so anyone modifying those list should notice the warnings signs and
read the comment accordingly.

Signed-off-by: David Goulet <dgoulet@torproject.org>

Add scary warnings about changing the protover list.

Doing this in the wrong way has potential to cause serious havoc on
the network, so let's make it harder for future programmers to mess
it up.

Merge branch 'maint-0.3.5' into release-0.3.5

Merge remote-tracking branch 'ahf/ahf/ci-i386' into maint-0.3.5

Merge branch 'maint-0.3.5' into release-0.3.5

shellcheck: Make it happy on couple scripts

Signed-off-by: David Goulet <dgoulet@torproject.org>

Add i386 version of debian-minimal for 32-bit Gitlab CI builds.

See: tpo/core/tor#40505

Merge branch 'maint-0.3.5' into release-0.3.5

Fix Windows build.

While trying to resolve our CI issues, the Windows build broke with an
unused function error:

   src/test/test_switch_id.c:37:1: error: ‘unprivileged_port_range_start’
   defined but not used [-Werror=unused-function]

We solve this by moving the `#if !defined(_WIN32)` test above the
`unprivileged_port_range_start()` function defintion such that it is
included in its body.

This is an unreviewed commit.

See: tor#40275

Merge branch 'maint-0.3.5' into release-0.3.5

changes: Add file for ticket 26299

Signed-off-by: David Goulet <dgoulet@torproject.org>

makefile: Add a reproducible dist make job

Signed-off-by: David Goulet <dgoulet@torproject.org>

release: Patches to make tarball reproducible

Closes #26299

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

version: Missing version update in couple files

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

ci: Missing source dir when parsing configure.ac version

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

version: Bump to 0.3.5.17-dev

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

version: Bump to 0.3.5.17

Signed-off-by: David Goulet <dgoulet@torproject.org>

0.3.5 changelog cleanups

changelog: Changelog for 0.3.5.17

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

fallbackdir: Regenerate the list for October 2021

Closes #40493

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

Announce URL to bridge status page when starting Tor as a bridge relay.

This patch makes Tor announce the relay specific bridge status page URL
when Tor is starting up before bootstrap occours.

See: tor#30477

Merge branch 'maint-0.3.5' into release-0.3.5

Remove unused function: dns_randfn_() in dns.c.

This patch unbreaks the current build after tor!369 landed.

See: https://bugs.torproject.org/tpo/core/tor/40371

Merge remote-tracking branch 'tor-gitlab/mr/369' into maint-0.3.5

Merge branch 'maint-0.3.5' into release-0.3.5

hs: Improve warning for bad service version

Now that we don't have version 2, it gives us:

  [warn] HiddenServiceVersion must be between 3 and 3, not 2.

This commit changes it to:

  [warn] HiddenServiceVersion must be 3, not 2.

Part of #40476

Signed-off-by: David Goulet <dgoulet@torproject.org>

changes: Add file for ticket 40476

Closes #40476

Signed-off-by: David Goulet <dgoulet@torproject.org>

test: Don't run HSv2 Chutney test networks

Part of #40476

Signed-off-by: David Goulet <dgoulet@torproject.org>

test: Fix unit tests after disabling version 2

Some tests were removed because they were testing something not usable
anymore.

Some tests remains to make sure that things are indeed disabled.

Part of #40476

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v2: Disable version 2 HSPOST and HSFETCH command

Part of #40476

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v2: Disable version 2 directory

Relay do not accept both stores and lookups of version 2 descriptor.
This effectively disable version 2 HSDir supports for relays.

Part of #40476

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v2: Disable version 2 introduction point

Upon receiving a v2 introduction request, the relay will close the
circuit and send back a tor protocol error.

Part of #40476

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v2: Disable version 2 service

The minimum service version is raised from 2 to 3 which effectively
disable loading or creating an onion service v2.

As for ADD_ONION, for version 2, a 551 error is returned:

  "551 Failed to add Onion Service"

Part of #40476

Signed-off-by: David Goulet <dgoulet@torproject.org>

hs-v2: Disable SOCKS connection for v2 addresses

This effectively turns off the ability of tor to use HSv2 as a client by
invalidating the v2 onion hostname passed through a SOCKS request.

Part of #40476

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

Only check for bindable ports if we are unsure if it will fail.

We currently assume that the only way for Tor to listen on ports in the
privileged port range (1 to 1023), on Linux, is if we are granted the
NET_BIND_SERVICE capability. Today on Linux, it's possible to specify
the beginning of the unprivileged port range using a sysctl
configuration option. Docker (and thus the CI service Tor uses) recently
changed this sysctl value to 0, which causes our tests to fail as they
assume that we should NOT be able to bind to a privileged port *without*
the NET_BIND_SERVICE capability.

In this patch, we read the value of the sysctl value via the /proc/sys/
filesystem iff it's present, otherwise we assume the default
unprivileged port range begins at port 1024.

See: tor#40275

Use Debian bullseye for our hardened build.

Force amd64 for CI builds.

Merge branch 'maint-0.3.5' into release-0.3.5

Bump version to -dev

Signed-off-by: David Goulet <dgoulet@torproject.org>

changelog: Run format_changelog.py

Signed-off-by: David Goulet <dgoulet@torproject.org>

changelog: Update with security fix stanza

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

Use debian:buster instead of debian:stable for now.

Use the correct release date and backport version sources

Merge branch 'maint-0.3.5' into release-0.3.5

Make the version 0.3.6.16, not 0.3.6.16-dev.

Merge branch 'maint-0.3.5' into release-0.3.5

changelog: Fix missing double newline

Signed-off-by: David Goulet <dgoulet@torproject.org>

Update version to 0.3.5.16

Signed-off-by: David Goulet <dgoulet@torproject.org>

Changelog for 0.3.5.16

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

Update GeoIP files to match IPFire location DB as per 2021/08/12.

Merge branch 'maint-0.3.5' into release-0.3.5

Merge remote-tracking branch 'tor-gitlab/mr/417' into maint-0.3.5

Merge branch 'maint-0.3.5' into release-0.3.5

Disable ed25519-donna's batch verification.

Fixes bug 40078.

As reported by hdevalence our batch verification logic can cause an assert
crash.

The assert happens because when the batch verification of ed25519-donna fails,
the code in `ed25519_checksig_batch()` falls back to doing a single
verification for each signature.

The crash occurs because batch verification failed, but then all signatures
individually verified just fine.

That's because batch verification and single verification use a different
equation which means that there are sigs that can pass single verification
but fail batch verification.

Fixing this would require modding ed25519-donna which is not in scope for
this ticket, and will be soon deprecated in favor of arti and
ed25519-dalek, so my branch instead removes batch verification.

fallbackdir: Regenerate list

New list for all stable releases.

Closes #40447

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

relay: Reduce streaming compression ratio from HIGH to LOW

Fixes #40301

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.3.5' into release-0.3.5

Bump to 0.3.5.15-dev

Copy ChangeLog into ReleaseNotes.

Pick a date, draft a blurb

Backport changelog entries

Merge branch 'maint-0.3.5' into release-0.3.5

Fix TROVE-2021-006: Out-of-bounds read on v3 desc parsing

Merge branch 'maint-0.3.5' into release-0.3.5

TROVE-2021-003: Check layer_hint before half-closed end and resolve cells

This issue was reported by Jann Horn part of Google's Project Zero.

Jann's one-sentence summary: entry/middle relays can spoof RELAY_END cells on
half-closed streams, which can lead to stream confusion between OP and
exit.

Fixes #40389

Merge branch 'maint-0.3.5' into release-0.3.5

Merge branch 'bug40391_035' into maint-0.3.5

Merge branch 'maint-0.3.5' into release-0.3.5

Merge branch 'bug40390_035_squashed' into maint-0.3.5